deshablitando el modulo del proxy, concretamente: # LoadModule proxy_module /usr/lib/apache/libproxy.so # AddModule mod_proxy.c encuentro GARRAFAL que dejen una config por defecto TAN vulnerable #<IfModule mod_proxy.c> # ProxyRequests On <== GARRAFAAAAAL # # Order deny,allow # Deny from all <== esto si no recuerdo mal lo modifique yo (si no es el caso, es que encima hay un bug) # Allow from .your-domain.com # </Directory> # ProxyVia On <== igual de bestia # CacheRoot "/var/cache/httpd" # CacheSize 5 # CacheGcInterval 4 # CacheMaxExpire 24 # CacheLastModifiedFactor 0.1 # CacheDefaultExpire 1 # NoCache a-domain.com another-domain.edu joes.garage-sale.com #</IfModule> es totalmente correcto y OBLIGATORIO por parte del usuario/administrador configurar correctamente los programas instalados, pero tb encuentro horrendo que pongan una config por defecto con las puertas abiertas de par en par... Suerte! -----Mensaje original----- De: Dionisio Ruiz de Zarate [mailto:dionisio@tinieblas.com] Enviado el: viernes, 20 de junio de 2003 22:19 Para: Sharek; suse-linux-s@suse.com Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad como configuraste el apache para queno te pasa eso? que cambio le hiciste a la conf por defecto? muchas gracias por tu aviso y ayuda. ----- Original Message ----- From: "Sharek" To: Sent: Friday, June 20, 2003 5:51 PM Subject: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad Buenas, escribo esto sin demasiado conocimiento de causa, ya que ahun estoy evaluando los daños al sistema... Vereis yo tengo un suse 8.2 con el apache 1.3x y postfix colocados y configurados el postfix tiene las politicas de seguridad correctas y con drac un trocito de un log del apache: 64.70.45.167 - - [19/Jun/2003:20:32:38 +0200] "CONNECT 64.12.136.89:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:32:57 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:33:54 +0200] "CONNECT 202.54.1.73:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:34:50 +0200] "CONNECT 65.54.253.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:35:48 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 (si lo se pone 403... lo he configurado correctamente) por defecto Apache viene con el modulo proxy activado (lo que permite el connect) el problema viene con una con una cadena como esta "CONNECT 127.0.0.1:25 HTTP/1.0" accede a nuestro servidor de correo (CON RELAY) a todos los que usen apache... si habeis dejado la config por defecto o no habeis hecho mucho caso a los modules, VIGILAD me enteré pq recibia miles de peticiones ICMP de mis servidores DNS, me llevo horas detectar que provocaba eso El spammer se despachó agusto, contacto con unos cuantos amigos suyos y todos haciendome peticiones CONNECT Posiblemente solo era un ataque para provocar un DoS, pero por si las moscas, vigilad bien vuestras configuraciones a mi me conllevó horas de panico cerca de 3mb de logs y un lag de 30 segundos (sin contar las molestias a mi DNS server y a saber a quien mas) solucioné el problema configurando bien el servidor y baneando al elemento desde el router (ya que hacerlo por soft en el apache me seguia llenando los logs de basura) Suerte! y vigilad vuestros logs en plan paranoico PD: me lo pasé teta y aprendí un montón :) -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com

OJO, mi apache es el 1.3 :) alomejor en el 2 no da ese problema -----Mensaje original----- De: Dionisio Ruiz de Zarate [mailto:dionisio@tinieblas.com] Enviado el: viernes, 20 de junio de 2003 23:09 Para: Sharek; suse-linux-s@suse.com Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad en el apache2 que tengo yo instalado, con la suse 8.2 viene eso comentado por defecto,osea no abierto ----- Original Message ----- From: "Sharek" To: "'Dionisio Ruiz de Zarate'" ; Sent: Friday, June 20, 2003 10:49 PM Subject: RE: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad deshablitando el modulo del proxy, concretamente: # LoadModule proxy_module /usr/lib/apache/libproxy.so # AddModule mod_proxy.c encuentro GARRAFAL que dejen una config por defecto TAN vulnerable #<IfModule mod_proxy.c> # ProxyRequests On <== GARRAFAAAAAL # # Order deny,allow # Deny from all <== esto si no recuerdo mal lo modifique yo (si no es el caso, es que encima hay un bug) # Allow from .your-domain.com # </Directory> # ProxyVia On <== igual de bestia # CacheRoot "/var/cache/httpd" # CacheSize 5 # CacheGcInterval 4 # CacheMaxExpire 24 # CacheLastModifiedFactor 0.1 # CacheDefaultExpire 1 # NoCache a-domain.com another-domain.edu joes.garage-sale.com #</IfModule> es totalmente correcto y OBLIGATORIO por parte del usuario/administrador configurar correctamente los programas instalados, pero tb encuentro horrendo que pongan una config por defecto con las puertas abiertas de par en par... Suerte! -----Mensaje original----- De: Dionisio Ruiz de Zarate [mailto:dionisio@tinieblas.com] Enviado el: viernes, 20 de junio de 2003 22:19 Para: Sharek; suse-linux-s@suse.com Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad como configuraste el apache para queno te pasa eso? que cambio le hiciste a la conf por defecto? muchas gracias por tu aviso y ayuda. ----- Original Message ----- From: "Sharek" To: Sent: Friday, June 20, 2003 5:51 PM Subject: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad Buenas, escribo esto sin demasiado conocimiento de causa, ya que ahun estoy evaluando los daños al sistema... Vereis yo tengo un suse 8.2 con el apache 1.3x y postfix colocados y configurados el postfix tiene las politicas de seguridad correctas y con drac un trocito de un log del apache: 64.70.45.167 - - [19/Jun/2003:20:32:38 +0200] "CONNECT 64.12.136.89:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:32:57 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:33:54 +0200] "CONNECT 202.54.1.73:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:34:50 +0200] "CONNECT 65.54.253.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:35:48 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 (si lo se pone 403... lo he configurado correctamente) por defecto Apache viene con el modulo proxy activado (lo que permite el connect) el problema viene con una con una cadena como esta "CONNECT 127.0.0.1:25 HTTP/1.0" accede a nuestro servidor de correo (CON RELAY) a todos los que usen apache... si habeis dejado la config por defecto o no habeis hecho mucho caso a los modules, VIGILAD me enteré pq recibia miles de peticiones ICMP de mis servidores DNS, me llevo horas detectar que provocaba eso El spammer se despachó agusto, contacto con unos cuantos amigos suyos y todos haciendome peticiones CONNECT Posiblemente solo era un ataque para provocar un DoS, pero por si las moscas, vigilad bien vuestras configuraciones a mi me conllevó horas de panico cerca de 3mb de logs y un lag de 30 segundos (sin contar las molestias a mi DNS server y a saber a quien mas) solucioné el problema configurando bien el servidor y baneando al elemento desde el router (ya que hacerlo por soft en el apache me seguia llenando los logs de basura) Suerte! y vigilad vuestros logs en plan paranoico PD: me lo pasé teta y aprendí un montón :) -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com