El Mon, 26 May 2003 23:42:09 +0200 sagrario <[EMAIL PROTECTED]> escribió:
> Hola
>
> se me están llenando los logs con cosas como estas
> hay alguna forma de evitarlo?
>
> 64.201.104.98 - - [26/May/2003:22:58:46 +0200] "CONNECT
> 202.85.139.200:25 HTTP/1.0" 200 11274 "-" "
>
> es evidente que usan el servidor como puente para conectar con
> otros. desde luego ni la direccion de origen , ni la de destino son
> la mia se puede hacer algo a nivel de firewall o de apache?
>
Hola:
Fíjate que el número que está des pues del 200 (el 11274) puede ser
el mismo que el número que aparece cuando hay un "GET / HTTP/1.0" 200
xxxxxxxxx. Eso significa que tu apache le devuelve el / en vez de la
petición que realizó el atacante.
Lo que tu dices puede ser verdad si tienes activado y mal configurado
el mod_proxy, si no lo utilizas y lo cargas en el arranque de apache,
sería muy bueno que lo saques (tu máquina está funcionando "open
proxy"). Y si necesitas el mod_proxy para algo, sería bueno que te
asegures de que no se pueda realizar ningún tipo de "puente" entre el
atacante y la máquina destino. En realidad no es tan "atacante" sino,
debe ser algún bot que constantemente busca máquinas "open proxy".
Si quieres librarte de esos logs, puedes hacer alguna regla
personalizada para ese tipo de peticiones y guardarlas en /dev/null o
en un log especial para esas peticiones (junto a las de /scripts/..,
/default.ida? y las de /.hash y tantas otras que aparecen cada tanto).
--
Atentamente, yo <Matías>
Nunca hay libertad en una invasión
http://www.nnss.dre.la
Proyecto Wishlist [EMAIL PROTECTED] subject=subscribe
pgpcJFOFFIfzA.pgp
Description: PGP signature
