Problemas de Seguridad con Apache.
A ver primero que nada, agradecer a todos por sus aportes. Acá les paso algo mas de información respecto a mi situación. Efectivamente, tengo un proxy abierto, para direccionar peticiones de un subdominio a otra máquina en Win que mantiene otro servicio web. En principio pense que podría ser eso, sin embargo cerré todo lo que tenía que ver con el proxy y aun así seguia enviando peticiones. Respecto a la IP, en el log, pasa pq tengo los servidores web detras de un cortafuegos que mapea las peticiones web hacia esta máquina, por eso lo de las solicitudes desde esa IP. Acerca de la seguridad, lei justamente la página de Apache y algunos foros y hacen referencias a que la versión 2.0.53 , la versión en cuestión, tiene un problema de seguridad que podría hacer que algún usuario mal intencionado robe el servicio, que es lo que me imagino puede estar pasando; y propone actualizar la versión de Apache a una superior.Ahora de las actualizaciones, no creo que pase por cambiar la distro para obtener una versión más nueva de Apache, siendo que ellos mismos tienen liberada la versión 2.2.2 y la pude instalar sin problemas; sin embargo el problema pasó a la hora de utilizar los modulos que usaba anteriormente que tienen ciertos problemas de compatibilidad con la versión. Ahora, una nueva duda. si el Proxy fuese el problema?? como puedo mapear las peticiones hacia esta otra máquina sin utilizarlo?? y obviamente sin tener que cambiar todo lo de la maquina de win a linux?? Bueno, espero pueda haberles aclarado algo mas la pelicula. Gracias a todos nuevamente!! Saludos!! On 5/10/06, Cristian Rodriguez [EMAIL PROTECTED] wrote: On 5/10/06, Jens Hardings [EMAIL PROTECTED] wrote: Cristian Rodriguez wrote: On 5/10/06, Joel Campos [EMAIL PROTECTED] wrote: Estimados Listeros: 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www2.bpheonix.org:81/blog//index.php?show=26,07,2004 HTTP/1.1 403 343 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://schizocath.com/index.php/member/index.php/blog/1 HTTP/1.1 403 336 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.qualitynet.net/unwanted.html HTTP/1.1 403 324 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.weeklystandards.com/oldsite/archives/2004/05/tws_index-2.html HTTP/1.1 403 362 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.aquariumsite.org/linkfish.cfm?ID=1273 HTTP/1.1 403 335 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.ostblog.nullserver.net/2004_12_26_archiv.php?show_id=110450747956392629 HTTP/1.1 403 375 Mis mas sentidas condolencias, tienes un proxy abierto de par en par... Falso, el apache nunca entrega nada más que una página de error (código 403). Cierto, no mire el codigo de error ( respondi rapido xD) Por lo demás, el origen de esas solicitudes es el número IP 192.168.1.1, así que no es algo que viene de Internet, sino que desde un host interno. eso tambien es cierto ;-) el OP debe tener alguna clase de zombie interno, o efectivamente quiere usar el apache como proxy .. próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060511/a2d0eba0/attachment.html From [EMAIL PROTECTED] Thu May 11 10:32:45 2006 From: [EMAIL PROTECTED] (=?ISO-8859-1?Q?=22Manuel_R=2E_Berci=E1n=22?=) Date: Thu May 11 09:58:00 2006 Subject: Acerca de QT Message-ID: [EMAIL PROTECTED] Perdonen la pregunta yo se que es una lista Linux pero como es QT, quiza ustedes saben, tengo un programa en QT, en Windows como puedo hacer para levantar aplicaciones instaladas ahi, por ejemplo, word, excel, el internet explorer, etc, Gracias
Problemas de Seguridad con Apache.
El jue, 11-05-2006 a las 09:19 -0400, Joel Campos escribió: A ver primero que nada, agradecer a todos por sus aportes. Acá les paso algo mas de información respecto a mi situación. Efectivamente, tengo un proxy abierto, para direccionar peticiones de un subdominio a otra máquina en Win que mantiene otro servicio web. En principio pense que podría ser eso, sin embargo cerré todo lo que tenía que ver con el proxy y aun así seguia enviando peticiones. No es que envie peticiones, sino que esta RECIBIENDO peticiones. Tu Apache esta bien, el que esta mal es el equipo con IP 192.168.1.1 Respecto a la IP, en el log, pasa pq tengo los servidores web detras de un cortafuegos que mapea las peticiones web hacia esta máquina, por eso lo de las solicitudes desde esa IP. Entonces tendrias que ver cual es el origen real de esas solicitudes. Acerca de la seguridad, lei justamente la página de Apache y algunos foros y hacen referencias a que la versión 2.0.53 , la versión en cuestión, tiene un problema de seguridad que podría hacer que algún usuario mal intencionado robe el servicio, que es lo que me imagino puede estar pasando; y propone actualizar la versión de Apache a una superior.Ahora de las actualizaciones, no creo que pase por cambiar la distro para obtener una versión más nueva de Apache, siendo que ellos mismos tienen liberada la versión 2.2.2 y la pude instalar sin problemas; sin embargo el problema pasó a la hora de utilizar los modulos que usaba anteriormente que tienen ciertos problemas de compatibilidad con la versión. Ahora, una nueva duda. si el Proxy fuese el problema?? como puedo mapear las peticiones hacia esta otra máquina sin utilizarlo?? y obviamente sin tener que cambiar todo lo de la maquina de win a linux?? insisto, no es tu Apache el que debes mirar, sino que debes ver quien esta tratando de usar tu Apache como proxy. Tu apache esta contestando correctamente. -- Franco Catrin L. TUXPAN http://www.tuxpan.com/fcatrin
Problemas de Seguridad con Apache.
Estimados Listeros: Instalé hace pocos días Linux con un servidor Apache en su versión 2.0.53, la cual aparentemente tiene una falla de seguridad (Según lo que pude averiguar a traves de la red). Alguien se encargó de robar el servicio de httpd y empezó a generar llamadas a otras páginas que no tienen ninguna relación con mi servidor, lo que está ocasionando un atochamiento en el tráfico de mi enlace. Aqui pego algunas líneas del log de Apache para que comprendan un poco más lo que trato de explicar: 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www2.bpheonix.org:81/blog//index.php?show=26,07,2004 HTTP/1.1 403 343 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://schizocath.com/index.php/member/index.php/blog/1 HTTP/1.1 403 336 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.qualitynet.net/unwanted.html HTTP/1.1 403 324 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.weeklystandards.com/oldsite/archives/2004/05/tws_index-2.htmlHTTP/1.1; 403 362 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.aquariumsite.org/linkfish.cfm?ID=1273 HTTP/1.1 403 335 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.ostblog.nullserver.net/2004_12_26_archiv.php?show_id=110450747956392629HTTP/1.1; 403 375 Traté de actualizar apache hacia la versión mas nueva, sin afectar los módulos que estan cargados y que necesito para mi sitio, sin embargo logré actualizarla a la versión 2.0.54 y el problema de las llamadas sigue igual.Probé con la versión 2.2.2 de Apache, pero me reclama por la compatibilidad de los módulos anteriores. ¿Será realmente una falla de seguridad de Apache o será una falla de seguridad en mi configuración de Apache?¿alguien tiene alguna idea de como poder solucionar esto? ¿Existirá alguna compilación de una versión más nueva de apache que me permita actualizar la distro sin tener que reinstalar todo desde su base? Gracias a todos los listeros de antemano. Saludos!! próxima parte Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20060510/cc6ae234/attachment.html From [EMAIL PROTECTED] Wed May 10 12:47:40 2006 From: [EMAIL PROTECTED] (Fabian Donoso C.) Date: Wed May 10 12:44:20 2006 Subject: LDAP en squirrelmail In-Reply-To: [EMAIL PROTECTED] Message-ID: [EMAIL PROTECTED] SOLUCIONADO Bastaba con poner esta línea en el archivo slapd.conf: allow bind_v2 y se solucionó el problema. Fabian Donoso C. http://zip.to/fdonoso -Mensaje original- De: [EMAIL PROTECTED] [mailto:linux- [EMAIL PROTECTED] En nombre de Fabian Donoso C. Enviado el: Martes, 09 de Mayo de 2006 17:21 Para: Lista Linux UFSM (Chile) Asunto: LDAP en squirrelmail Hola a todos: Tengo squirrelmail 1.4.1 en un servidor RH8 con Postfix, usuarios normales (shell) y buzones mbox. Tengo, además, corriendo un servidor LDAP para mantener la lista de contactos de la empresa (solo para eso). En estos momentos funciona bien con los clientes de correos (ms-outlook) pero quiero integrarlo a squirrelmail. Ejecute el ./conf.pl elegí la opcion 6. Address Books (LDAP) luego la opcion 1. Change Servers Y estos son los datos configurados: $default_use_javascript_addr_book = true; $ldap_server[0] = array( 'host' = 'localhost', 'base' = 'ou=Addressbook, o=lapreferida.cl', 'name' = 'La Preferida', 'maxrows' = 1 ); Pero cuando pincho el boton direcciones en la ventana componer me aparece un error: Error inicializando el servidor LDAP localhost: [La Preferida] Protocol error Siendo que son los mismos datos con los que estan los clientes de correos y en ellos la conexión funciona bien. Que será? Atte. Fabian Donoso C. http://zip.to/fdonoso __ Información de NOD32, revisión 1.1528 (20060509) __ Este mensaje ha sido analizado con NOD32 antivirus system http://www.nod32.com
Problemas de Seguridad con Apache.
Cristian Rodriguez wrote: On 5/10/06, Joel Campos [EMAIL PROTECTED] wrote: Estimados Listeros: 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www2.bpheonix.org:81/blog//index.php?show=26,07,2004 HTTP/1.1 403 343 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://schizocath.com/index.php/member/index.php/blog/1 HTTP/1.1 403 336 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.qualitynet.net/unwanted.html HTTP/1.1 403 324 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.weeklystandards.com/oldsite/archives/2004/05/tws_index-2.html HTTP/1.1 403 362 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.aquariumsite.org/linkfish.cfm?ID=1273 HTTP/1.1 403 335 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.ostblog.nullserver.net/2004_12_26_archiv.php?show_id=110450747956392629 HTTP/1.1 403 375 Mis mas sentidas condolencias, tienes un proxy abierto de par en par... Falso, el apache nunca entrega nada más que una página de error (código 403). Por lo demás, el origen de esas solicitudes es el número IP 192.168.1.1, así que no es algo que viene de Internet, sino que desde un host interno. -- Jens.
Problemas de Seguridad con Apache.
On 5/10/06, Jens Hardings [EMAIL PROTECTED] wrote: Cristian Rodriguez wrote: On 5/10/06, Joel Campos [EMAIL PROTECTED] wrote: Estimados Listeros: 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www2.bpheonix.org:81/blog//index.php?show=26,07,2004 HTTP/1.1 403 343 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://schizocath.com/index.php/member/index.php/blog/1 HTTP/1.1 403 336 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.qualitynet.net/unwanted.html HTTP/1.1 403 324 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.weeklystandards.com/oldsite/archives/2004/05/tws_index-2.html HTTP/1.1 403 362 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.aquariumsite.org/linkfish.cfm?ID=1273 HTTP/1.1 403 335 192.168.1.1 - - [09/May/2006:11:58:11 -0400] GET http://www.ostblog.nullserver.net/2004_12_26_archiv.php?show_id=110450747956392629 HTTP/1.1 403 375 Mis mas sentidas condolencias, tienes un proxy abierto de par en par... Falso, el apache nunca entrega nada más que una página de error (código 403). Cierto, no mire el codigo de error ( respondi rapido xD) Por lo demás, el origen de esas solicitudes es el número IP 192.168.1.1, así que no es algo que viene de Internet, sino que desde un host interno. eso tambien es cierto ;-) el OP debe tener alguna clase de zombie interno, o efectivamente quiere usar el apache como proxy ..