SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE problema de seguridad
Buenas, escribo esto sin demasiado conocimiento de causa, ya que ahun estoy evaluando los daños al sistema... Vereis yo tengo un suse 8.2 con el apache 1.3x y postfix colocados y configurados el postfix tiene las politicas de seguridad correctas y con drac un trocito de un log del apache: 64.70.45.167 - - [19/Jun/2003:20:32:38 +0200] "CONNECT 64.12.136.89:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:32:57 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:33:54 +0200] "CONNECT 202.54.1.73:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:34:50 +0200] "CONNECT 65.54.253.230:25 HTTP/1.0" 403 198 64.70.45.167 - - [19/Jun/2003:20:35:48 +0200] "CONNECT 65.54.166.230:25 HTTP/1.0" 403 198 (si lo se pone 403... lo he configurado correctamente) por defecto Apache viene con el modulo proxy activado (lo que permite el connect) el problema viene con una con una cadena como esta "CONNECT 127.0.0.1:25 HTTP/1.0" accede a nuestro servidor de correo (CON RELAY) a todos los que usen apache... si habeis dejado la config por defecto o no habeis hecho mucho caso a los modules, VIGILAD me enteré pq recibia miles de peticiones ICMP de mis servidores DNS, me llevo horas detectar que provocaba eso El spammer se despachó agusto, contacto con unos cuantos amigos suyos y todos haciendome peticiones CONNECT Posiblemente solo era un ataque para provocar un DoS, pero por si las moscas, vigilad bien vuestras configuraciones a mi me conllevó horas de panico cerca de 3mb de logs y un lag de 30 segundos (sin contar las molestias a mi DNS server y a saber a quien mas) solucioné el problema configurando bien el servidor y baneando al elemento desde el router (ya que hacerlo por soft en el apache me seguia llenando los logs de basura) Suerte! y vigilad vuestros logs en plan paranoico PD: me lo pasé teta y aprendí un montón :)
como configuraste el apache para queno te pasa eso? que cambio le hiciste a
la conf por defecto?
muchas gracias por tu aviso y ayuda.
----- Original Message -----
From: "Sharek"
deshablitando el modulo del proxy, concretamente:
# LoadModule proxy_module /usr/lib/apache/libproxy.so
# AddModule mod_proxy.c
encuentro GARRAFAL que dejen una config por defecto TAN vulnerable
#<IfModule mod_proxy.c>
# ProxyRequests On <== GARRAFAAAAAL
#
en el apache2 que tengo yo instalado, con la suse 8.2 viene eso comentado
por defecto,osea no abierto
----- Original Message -----
From: "Sharek"
OJO, mi apache es el 1.3
:)
alomejor en el 2 no da ese problema
-----Mensaje original-----
De: Dionisio Ruiz de Zarate [mailto:dionisio@tinieblas.com]
Enviado el: viernes, 20 de junio de 2003 23:09
Para: Sharek; suse-linux-s@suse.com
Asunto: Re: [suse-linux-s] SuSE 8.2 + Apache(por defecto) + Postfix = GRAVE
problema de seguridad
en el apache2 que tengo yo instalado, con la suse 8.2 viene eso comentado
por defecto,osea no abierto
----- Original Message -----
From: "Sharek"
participants (2)
-
Dionisio Ruiz de Zarate
-
Sharek