El Mon, 26 May 2003 23:42:09 +0200 sagrario <[EMAIL PROTECTED]> escribió:
> Hola > > se me están llenando los logs con cosas como estas > hay alguna forma de evitarlo? > > 64.201.104.98 - - [26/May/2003:22:58:46 +0200] "CONNECT > 202.85.139.200:25 HTTP/1.0" 200 11274 "-" " > > es evidente que usan el servidor como puente para conectar con > otros. desde luego ni la direccion de origen , ni la de destino son > la mia se puede hacer algo a nivel de firewall o de apache? > Hola: Fíjate que el número que está des pues del 200 (el 11274) puede ser el mismo que el número que aparece cuando hay un "GET / HTTP/1.0" 200 xxxxxxxxx. Eso significa que tu apache le devuelve el / en vez de la petición que realizó el atacante. Lo que tu dices puede ser verdad si tienes activado y mal configurado el mod_proxy, si no lo utilizas y lo cargas en el arranque de apache, sería muy bueno que lo saques (tu máquina está funcionando "open proxy"). Y si necesitas el mod_proxy para algo, sería bueno que te asegures de que no se pueda realizar ningún tipo de "puente" entre el atacante y la máquina destino. En realidad no es tan "atacante" sino, debe ser algún bot que constantemente busca máquinas "open proxy". Si quieres librarte de esos logs, puedes hacer alguna regla personalizada para ese tipo de peticiones y guardarlas en /dev/null o en un log especial para esas peticiones (junto a las de /scripts/.., /default.ida? y las de /.hash y tantas otras que aparecen cada tanto). -- Atentamente, yo <Matías> Nunca hay libertad en una invasión http://www.nnss.dre.la Proyecto Wishlist [EMAIL PROTECTED] subject=subscribe
pgpcJFOFFIfzA.pgp
Description: PGP signature