Discussion:
ist mein Webserver gehackt ?
Lentes, Bernd
2014-06-04 16:45:07 UTC
Permalink
Hi,

ich bin eben über seltsame Einträge im access_log des httpd gestolpert:

1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"

Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher gelesen habe (http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ), kann man damit einen http-Proxy benutzen. Den habe ich aber nicht:

pc52974:~ # rpm -qa|grep -i apache

apache2-mod-apparmor-2.0-21.2
apache2-doc-2.2.3-16.48.1
apache2-mod_php5-5.2.14-0.42.1
perl-Apache-Session-1.80-13.4
apache2-2.2.3-16.48.1
apache2-mod_tidy-0.5.5-13.4
apache2-prefork-2.2.3-16.48.1
apache2-devel-2.2.3-16.48.1
apache2-mod_perl-2.0.2-14.2
apache2-mod_fcgid-1.07-14
apache2-example-pages-2.2.3-16.48.1

Somit dürfte das doch in diesem Fall nicht kritisch sein, oder ? Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ?
Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen.
Kann ich was gegen diese Zugriffe tun ?

Außerdem habe ich noch dieses:

222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-"
121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/ HTTP/1.0" 200 25051 "-"
49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"
113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET http://www.google.com/ HTTP/1.0" 200 16566 "-"

Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET-Request absetze, kriege ich verschiedene Antworten:
Wenn ich den Request ohne Protokollversion absetze (GET http://www.google.com/), bekomme ich sofort die index.php von unserer Webpräsenz.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode 400, die vorgibt von www.google.com zu sein:

GET http://www.google.com/ HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Wed, 04 Jun 2014 15:45:06 GMT
Server: Apache
Content-Length: 290
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache Server at www.google.com Port 80</address>
</body></html>


Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam auch keines von dort. ???

Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ?



Thanks for any hints.


Bernd

--
Bernd Lentes

Systemadministration
Institut für Entwicklungsgenetik
Gebäude 35.34 - Raum 208
HelmholtzZentrum münchen
***@helmholtz-muenchen.de
phone: +49 89 3187 1241
fax: +49 89 3187 2294
http://www.helmholtz-muenchen.de/idg

Die Freiheit wird nicht durch weniger Freiheit verteidigt



Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Lentes, Bernd
2014-06-04 17:16:01 UTC
Permalink
Post by Lentes, Bernd
Hi,
1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.47.185 - - [11/May/2014:13:04:39 +0200] "CONNECT
mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.0.50 - - [11/May/2014:13:07:46 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.93.215 - - [11/May/2014:23:09:25 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.196.100 - - [13/May/2014:13:39:55 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.91.222 - - [14/May/2014:03:39:07 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.26.229 - - [14/May/2014:05:33:50 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.93.36 - - [14/May/2014:08:06:54 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.4.243 - - [15/May/2014:14:30:21 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.5.185 - - [17/May/2014:14:32:54 +0200] "CONNECT
mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.30.9 - - [17/May/2014:23:15:01 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.220.27 - - [18/May/2014:05:59:45 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.221.107 - - [18/May/2014:08:39:51 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.228.28.72 - - [19/May/2014:07:49:21 +0200] "CONNECT
mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.216.8 - - [20/May/2014:17:18:58 +0200] "CONNECT
mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.44.79 - - [21/May/2014:05:42:26 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.86.193 - - [22/May/2014:12:12:00 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.250 - - [25/May/2014:23:49:17 +0200] "CONNECT
mx2.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.248.119.141 - - [28/May/2014:02:51:16 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
1.163.8.87 - - [29/May/2014:16:34:36 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
111.241.26.114 - - [29/May/2014:22:44:16 +0200] "CONNECT
mx0.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
61.231.5.207 - - [01/Jun/2014:01:14:23 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher
gelesen habe
(http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ),
pc52974:~ # rpm -qa|grep -i apache
apache2-mod-apparmor-2.0-21.2
apache2-doc-2.2.3-16.48.1
apache2-mod_php5-5.2.14-0.42.1
perl-Apache-Session-1.80-13.4
apache2-2.2.3-16.48.1
apache2-mod_tidy-0.5.5-13.4
apache2-prefork-2.2.3-16.48.1
apache2-devel-2.2.3-16.48.1
apache2-mod_perl-2.0.2-14.2
apache2-mod_fcgid-1.07-14
apache2-example-pages-2.2.3-16.48.1
das proxy-Modul vom httpd hat nix mit Squid zu tun, oder ?
Es versuchen also Clients meinen nicht vorhandenen Proxy zu mißbrauchen.
Kann ich was gegen diese Zugriffe tun ?
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
221.10.55.154 - - [11/Jan/2014:12:12:31 +0100] "GET http://www.google.com/
HTTP/1.0" 200 16566 "-"
49.73.28.184 - - [25/Jan/2014:16:27:09 +0100] "GET http://www.google.com/
HTTP/1.0" 200 16566 "-"
2.187.28.154 - - [07/Feb/2014:20:01:01 +0100] "GET http://www.google.com/
HTTP/1.0" 200 25051 "-"
121.238.254.122 - - [01/Mar/2014:23:59:11 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
121.238.254.238 - - [07/Mar/2014:23:34:18 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
61.136.151.251 - - [19/Mar/2014:13:20:04 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.72.198.155 - - [09/Apr/2014:21:03:26 +0200] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
49.73.66.85 - - [15/Apr/2014:07:01:20 +0200] "GET http://www.google.com/
HTTP/1.0" 200 25051 "-"
49.73.66.30 - - [28/Apr/2014:07:14:03 +0200] "GET http://www.google.com/
HTTP/1.0" 200 16566 "-"
49.73.66.84 - - [29/Apr/2014:10:39:44 +0200] "GET http://www.google.com/
HTTP/1.0" 200 16566 "-"
49.73.66.97 - - [08/May/2014:10:28:33 +0200] "GET http://www.google.com/
HTTP/1.0" 200 16566 "-"
113.106.172.152 - - [11/May/2014:04:56:45 +0200] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
Wenn ich per netcat händisch mit dem httpd spreche und einen solchen GET-
Wenn ich den Request ohne Protokollversion absetze (GET
http://www.google.com/), bekomme ich sofort die index.php von unserer
Webpräsenz.
Wenn ich den GET mit der Protokollversion (GET http://www.google.com/
HTTP/1.0) absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode
GET http://www.google.com/ HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Wed, 04 Jun 2014 15:45:06 GMT
Server: Apache
Content-Length: 290
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p> <hr> <address>Apache Server at www.google.com Port 80</address>
</body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam
auch keines von dort. ???
Wieso ist die Antwort abhängig von der Angabe des Protokolls ? Und wieso
gibt die Seite vor, von google zu kommen, obwohl dem nicht so ist ?
Hi,

folgende Seite ist in diesem Zusammenhang hilfreich: http://wiki.apache.org/httpd/ProxyAbuse


Bernd

Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Lentes, Bernd
2014-06-05 14:14:18 UTC
Permalink
Hi,

folgende Seite ist in diesem Zusammenhang sehr hilfreich: http://wiki.apache.org/httpd/ProxyAbuse

Bernd



Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
&v'���^i��m�-zY^��!���(�z)�1��jz)z{.��^��칻�&ޢ�������ק.+-zp�)���ڶ�����z'!z{�'$z
Tobias Crefeld
2014-06-04 23:46:48 UTC
Permalink
Am Wed, 4 Jun 2014 18:45:07 +0200 schrieb "Lentes, Bernd"
Post by Lentes, Bernd
ich bin eben über seltsame Einträge im access_log des httpd
1.163.5.79 - - [10/May/2014:14:40:52 +0200] "CONNECT
mx3.mail2000.com.tw:25 HTTP/1.0" 200 16566 "-"
Nicht gut, status code 200 heißt laut
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html , der "Gast" hat
erfolgreich über Dein System auf einen fremden Server zugegriffen (gehe
mal davon aus, dass mx3.mail2000 nicht bei Dir steht ;)

Bei mir schlagen auch solche Requests auf...

Connection attempts using mod_proxy:
1.163.222.253 -> mx0.mail2000.com.tw:25: 1 Time(s)
111.241.26.219 -> mx2.mail2000.com.tw:25: 1 Time(s)

...aber die werden dann abgelehnt...

405 Method Not Allowed
mx0.mail2000.com.tw:25: 1 Time(s)
mx2.mail2000.com.tw:25: 1 Time(s)

Beides aus dem täglichen logwatch-Report.
Post by Lentes, Bernd
Die IP's sind teilweise aus China und Taiwan. Nachdem was ich bisher
gelesen habe
(http://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_Tunneling ),
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200
belegt.
Post by Lentes, Bernd
pc52974:~ # rpm -qa|grep -i apache
Das betrifft das Apache-Modul mod_proxy samt "Submodulen" und das ist
m.W. kein extra rpm-Paket. Kontrollier mal Deine Apache-config auf das
Laden von mod_proxy.

Kenne die Apache-Systematik bei Suse nicht, also stimmen vielleicht die
Pfade nicht, aber im Kern muss es ein Verzeichnis mit den vorhandenen
Modulen geben. Bei RHEL sind die z.B. per
ll /usr/lib*/httpd/modules/*proxy* zu finden. Alternativ "apache2"
statt "httpd", "modules" heisst anders, etc..
Theoretisch könnten die Module auch statisch einkompiliert in den
Apache2 sein, aber ist eigentlich unüblich. Die Liste der Module wird
aber m.W. beim Start des Webservers geloggt.

Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen
werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der
betreffende Befehl (zum greppen) heißt "LoadModule". Für die
Proxy-Funktionalität werden hauptsächlich mod_proxy.so und
mod_proxy_http.so verwendet.

Und dann muss da noch eine Konfiguration existieren. Am besten, Du
greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass,
ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy
control block namens "Proxy" geben.
Post by Lentes, Bernd
Weitere Frage: das proxy-Modul vom httpd hat nix mit Squid zu tun,
oder ? Es versuchen also Clients meinen nicht vorhandenen Proxy zu
mißbrauchen. Kann ich was gegen diese Zugriffe tun ?
Apache kann ähnlich wie squid als Webproxy alias "forward proxy"
eingesetzt werden. Typischer ist allerdings die Anwendung als reverse
proxy. Um unerwünschtes proxying zu verhindern, kannst Du z.B. eine
Proxy - directive mit einer ACL einrichten.

http://httpd.apache.org/docs/2.2/mod/mod_proxy.html

Man kann natürlich auch das Laden der proxy-module verhindern, aber
dann funktionieren auch etwaige reverse-proxies für lokale
Applikationsserver nicht mehr.
Post by Lentes, Bernd
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen
"Proxy" möglich ist, dann natürlich erst recht der Zugriff auf
http-Server.
Post by Lentes, Bernd
Wenn ich den
GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0)
absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode
GET http://www.google.com/ HTTP/1.0
Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen
kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem
Leerzeichen und "HTTP/1.0" besteht.
Post by Lentes, Bernd
HTTP/1.1 400 Bad Request
Ganz offenbar wurde HTTP/1.1 verwendet.
Status code 400 ist eine Client Fehler - "malformed request" auf
neudeutsch. Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
Post by Lentes, Bernd
<p>Your browser sent a request that this server could not
understand.<br /> </p>
<hr>
<address>Apache Server at www.google.com Port 80</address>
</body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam
auch keines von dort. ???
Hm, kontrollier das besser nochmal en detail.
Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist,
dass ihn bereits der als Proxy arbeitende Apache ablehnt. Die formale
Kontrolle der requests auf application level ist ja einer der zentralen
Gründe für den Einsatz als ALG. Warum er das dann im Namen von
www.google.com tut, entzieht sich meinem Vorstellungsvermögen.
--
Gruß,
Tobias.

no email, only xmpp: ***@xabber.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Christian Boltz
2014-06-05 11:00:22 UTC
Permalink
Hallo Tobias, hallo Bernd, hallo Leute,
Post by Tobias Crefeld
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen
werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der
betreffende Befehl (zum greppen) heißt "LoadModule". Für die
Proxy-Funktionalität werden hauptsächlich mod_proxy.so und
mod_proxy_http.so verwendet.
Bei openSUSE stehen die Module in /etc/sysconfig/apache2 -
APACHE_MODULES=...

Daraus wird dann beim Starten von Apache (evtl. nicht bei einem reload)
eine Configdatei in /etc/apache2/sysconfig.d/ generiert - Änderungen in
diesen Dateien sind sinnlos, weil sie beim nächsten Apache-Start wieder
überschrieben werden.


Gruß

Christian Boltz
--
Ich war da - check. Das Kino auch - check. Ich wollte eigentlich Batman
schauen, aber es lief nur "Schwarz und geräuschlos" von den Machern von
"Unsere Server sind abgestürzt" und "bis die wieder laufen dauert es
noch ein paar Stunden". Die Welt ist am Ende, Kinos stürzen ab.
[Oliver ***@d]
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Lentes, Bernd
2014-06-05 13:50:49 UTC
Permalink
Post by Christian Boltz
Hallo Tobias, hallo Bernd, hallo Leute,
Post by Tobias Crefeld
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen
werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der
betreffende Befehl (zum greppen) heißt "LoadModule". Für die
Proxy-Funktionalität werden hauptsächlich mod_proxy.so und
mod_proxy_http.so verwendet.
Bei openSUSE stehen die Module in /etc/sysconfig/apache2 -
APACHE_MODULES=...
APACHE_MODULES="authz_host actions alias auth_basic authz_groupfile authn_file authz_user autoindex cgi dir include info log_config mime negotiation setenvif
status userdir asis imagemap php5 perl authz_default mod_tidy mod_fcgid"
Post by Christian Boltz
Daraus wird dann beim Starten von Apache (evtl. nicht bei einem reload)
eine Configdatei in /etc/apache2/sysconfig.d/ generiert - Änderungen in
diesen Dateien sind sinnlos, weil sie beim nächsten Apache-Start wieder
überschrieben werden.
Gruß
Christian Boltz
--
Bernd

Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Lentes, Bernd
2014-06-05 13:47:04 UTC
Permalink
Post by Tobias Crefeld
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200
belegt.
Glaub ich nicht:

pc52974:~ # httpd2 -M
Loaded Modules:
core_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
authz_host_module (shared)
actions_module (shared)
alias_module (shared)
auth_basic_module (shared)
authz_groupfile_module (shared)
authn_file_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cgi_module (shared)
dir_module (shared)
include_module (shared)
info_module (shared)
log_config_module (shared)
mime_module (shared)
negotiation_module (shared)
setenvif_module (shared)
status_module (shared)
userdir_module (shared)
asis_module (shared)
imagemap_module (shared)
php5_module (shared)
perl_module (shared)
authz_default_module (shared)
tidy_module (shared)
fcgid_module (shared)
Syntax OK

Kein proxy-Modul geladen
Post by Tobias Crefeld
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen
werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der
betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy-
Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so
verwendet.
Und dann muss da noch eine Konfiguration existieren. Am besten, Du
greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass,
ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy
control block namens "Proxy" geben.
pc52974:/etc/apache2 # grep -ir proxy *|less
pc52974:/etc/apache2 #

nix da.
Post by Tobias Crefeld
Post by Lentes, Bernd
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen
"Proxy" möglich ist, dann natürlich erst recht der Zugriff auf http-Server.
Post by Lentes, Bernd
Wenn ich den
GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0)
absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode
GET http://www.google.com/ HTTP/1.0
Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen
kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem
Leerzeichen und "HTTP/1.0" besteht.
Post by Lentes, Bernd
HTTP/1.1 400 Bad Request
Ganz offenbar wurde HTTP/1.1 verwendet.
Status code 400 ist eine Client Fehler - "malformed request" auf neudeutsch.
Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
Post by Lentes, Bernd
<p>Your browser sent a request that this server could not
understand.<br /> </p> <hr> <address>Apache Server at
www.google.com
Post by Lentes, Bernd
Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam
auch keines von dort. ???
Hm, kontrollier das besser nochmal en detail.
Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist, dass ihn
bereits der als Proxy arbeitende Apache ablehnt. Die formale Kontrolle der
requests auf application level ist ja einer der zentralen Gründe für den
Einsatz als ALG. Warum er das dann im Namen von www.google.com tut,
entzieht sich meinem Vorstellungsvermögen.
Bernd


Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
Rgbx�������޲ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr��ק٢�+-��h�;����r���brG�
Markus Heinze
2014-06-05 17:00:52 UTC
Permalink
Post by Lentes, Bernd
Post by Tobias Crefeld
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status code 200
belegt.
pc52974:~ # httpd2 -M
core_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
authz_host_module (shared)
actions_module (shared)
alias_module (shared)
auth_basic_module (shared)
authz_groupfile_module (shared)
authn_file_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cgi_module (shared)
dir_module (shared)
include_module (shared)
info_module (shared)
log_config_module (shared)
mime_module (shared)
negotiation_module (shared)
setenvif_module (shared)
status_module (shared)
userdir_module (shared)
asis_module (shared)
imagemap_module (shared)
php5_module (shared)
perl_module (shared)
authz_default_module (shared)
tidy_module (shared)
fcgid_module (shared)
Syntax OK
Kein proxy-Modul geladen
Post by Tobias Crefeld
Dann gibt es irgendwo einen Aufruf, wo die gewünschten Module geladen
werden. Steht meist irgendwo unter /etc/httpd bzw. /etc/apache2 - der
betreffende Befehl (zum greppen) heißt "LoadModule". Für die Proxy-
Funktionalität werden hauptsächlich mod_proxy.so und mod_proxy_http.so
verwendet.
Und dann muss da noch eine Konfiguration existieren. Am besten, Du
greppst Deine Apache-config-files nach "Proxy", kann z.B. ProxyPass,
ProxyRequests oder ProxySet heißen, ausserdem mag es noch einen Proxy
control block namens "Proxy" geben.
pc52974:/etc/apache2 # grep -ir proxy *|less
pc52974:/etc/apache2 #
nix da.
Post by Tobias Crefeld
Post by Lentes, Bernd
222.93.235.16 - - [27/Nov/2013:22:43:58 +0100] "GET
http://www.google.com/ HTTP/1.0" 200 16566 "-"
Stand zu erwarten: Wenn schon der Zugriff auf SMTP-services über Deinen
"Proxy" möglich ist, dann natürlich erst recht der Zugriff auf http-Server.
Post by Lentes, Bernd
Wenn ich den
GET mit der Protokollversion (GET http://www.google.com/ HTTP/1.0)
absetze, kriege ich nach einigen Minuten eine Seite mit Statuscode
GET http://www.google.com/ HTTP/1.0
Wäre mir neu, dass man die Protokollversion einfach an die URL anhängen
kann. M.E. frägt er hier eine URL auf google.com ab, die aus einem
Leerzeichen und "HTTP/1.0" besteht.
Post by Lentes, Bernd
HTTP/1.1 400 Bad Request
Ganz offenbar wurde HTTP/1.1 verwendet.
Status code 400 ist eine Client Fehler - "malformed request" auf neudeutsch.
Offenbar ist eine URL " HTTP/1.0" nicht erlaubt.
Post by Lentes, Bernd
<p>Your browser sent a request that this server could not
understand.<br /> </p> <hr> <address>Apache Server at
www.google.com
Post by Lentes, Bernd
Port 80</address> </body></html>
Lt. tcpdump ist aber kein Paket zu www.google.com gegangen und es kam
auch keines von dort. ???
Hm, kontrollier das besser nochmal en detail.
Ansonsten vermute ich, dass dieser Request syntaktisch so falsch ist, dass ihn
bereits der als Proxy arbeitende Apache ablehnt. Die formale Kontrolle der
requests auf application level ist ja einer der zentralen Gründe für den
Einsatz als ALG. Warum er das dann im Namen von www.google.com tut,
entzieht sich meinem Vorstellungsvermögen.
Hmm laut dem Wikieintrag handelt es sich wohl um ein PHP Phänomen. Da Du
ja sagtest ihr benötigt kein mod_proxy etc. würd ich einfach ein
fail2ban jail bauen und alles was ein CONNECT probiert bis zum
Sanktnimmerleinstag in einer Drop Chain schmoren lassen. Dann schläfts
sich schon etwas besser ;)
Post by Lentes, Bernd
Bernd
lg max
Post by Lentes, Bernd
Helmholtz Zentrum München
Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH)
Ingolstädter Landstr. 1
85764 Neuherberg
www.helmholtz-muenchen.de
Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe
Geschäftsführer: Prof. Dr. Günther Wess, Dr. Nikolaus Blum, Dr. Alfons Enhsen
Registergericht: Amtsgericht München HRB 6466
USt-IdNr: DE 129521671
Rgbx������޲ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy׾� ޮ�^�ˬz�
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Tobias Crefeld
2014-06-05 18:45:53 UTC
Permalink
Am Thu, 5 Jun 2014 15:47:04 +0200 schrieb "Lentes, Bernd"
Post by Lentes, Bernd
Denke schon, dass bei Dir ein Proxy läuft, wie der obige status
code 200 belegt.
Vielleicht nicht mod_proxy, aber anders sind die Log-Einträge kaum zu
interpretieren.
Post by Lentes, Bernd
pc52974:~ # httpd2 -M
core_module (static)
mpm_prefork_module (static)
http_module (static)
[..]

Ich gehe jetzt einfach davon aus, dass auf der Kiste kein zweiter
Apache läuft - das habe ich auch schon erlebt - , also müsste die
proxy-Funktion woanders herkommen.

Nächste Verdächtige wären angesichts Deiner Modul-Liste PHP und perl
bzw. eine darauf basierende Applikation. Wenn die damit laufenden
Web-Apps nicht gerade einen kapitalen Fehler aufweisen, dann liegt
Deine Vermutung (hacked) nahe. Wobei ich nicht alle der gelisteten
Module kenne und einschätzen kann.

BTW: Zum Testen könntest Du in einem Browser Deinen Server als Proxy
eintragen.
--
Gruß,
Tobias.

no email, only xmpp: ***@xabber.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+***@opensuse.org
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+***@opensuse.org
Loading...