Ja! Dein Apache fungiert als Proxy und ist dafür offen wie ein Scheunentor :D Empfehlung: Erstmal fix stoppen das Ding.
Ich hab grad mal 194.95.77.26 als Proxy in meinem FF eingetragen und, voila, die Web-Welt steht mir offen. Wofür benutzen die bösen Salzcracker das? Wenn man über so einen Proxy Exploits von bekannten Web-Programmen, Bulletinboards etc. ausnutzt kann der Angriff nicht (so leicht) zurückverfolgt werden. Zum Phishing kann das auch benutzt werden, da steck ich nicht so in den Details... Erste Abhilfe nachm stoppen kanns Du schaffen in dem Du das Proxy_Modul in der httpd.conf einfach nicht lädst. Danach kannst Du die Konfiguration des mod_proxy durchschauen und sauber schreiben, die ganzen Informationen findest Du unter http://httpd.apache.org/. Da steht auch was zur Sicherheit beim Einrichten von mod_proxy. Musst halt nur unter deiner Apache Version in der Doku gucken. Lieben Gruß und viel Spass beim Doku wälzen (ist eigentlich garnicht so viel) /Carsten >-----Original Message----- >From: Vlad Vorobiev [mailto:[EMAIL PROTECTED] >Sent: Monday, October 31, 2005 5:29 PM >To: users-de@httpd.apache.org >Subject: Anonymer Proxy auf dem Server? | logs analyse > > >Hallo, > >Neulich kamme zu mir eine Mails, wo stand das mein Server als offener >Proxy verwendet wird und ob das gewollt ist. > >ich wundere woher die ganzen > >218.3.13.7 - - [23/Oct/2005:03:26:08 +0200] "GET >http://adfarm.mediaplex.com/ad/ >ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn >HTTP/1.0" >404 11287 >"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site >;hp&mpro=http://www.ebay.com.cn"; "Mozilla/4.0 (compatible; MSIE 6.0; >Windows 200 >0; DigExt; TUCOWS Network)" >220.88.1.74 - - [23/Oct/2005:03:26:10 +0200] "GET >http://www.yahoo.com:80/ HTTP/ >1.1" 200 27366 "-" "Mozilla/3.0 (compatible; Indy Library)" >218.3.13.7 - - [23/Oct/2005:03:26:11 +0200] "GET >http://adfarm.mediaplex.com/ad/ >ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn >HTTP/1.0" >404 11287 >"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site >;hp&mpro=http://www.ebay.com.cn"; "Mozilla/4.0 (compatible; MSIE 5.0; >Windows 98) >" >218.3.13.7 - - [23/Oct/2005:03:26:12 +0200] "GET >http://adfarm.mediaplex.com/ad/ >ck/4080-22910-9640-240?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn >HTTP/1.0" >404 11287 >"http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-240?cn=chaoyue;site >;hp&mpro=http://www.ebay.com.cn"; "Mozilla/4.0 (compatible; MSIE 5.0; >Windows 98) >" > >komischen anfragen auf den Server kommen. Teilweise kommen die >von Yahoo >mit passwort übergabe ect. Hier werden die alle mit 404 quitiert. >Doch in anderen fällen habe ich sowas: > >64.40.100.10 - - [16/Oct/2005:03:31:20 +0200] "GET >http://www.brisnet.com/cgi-bi >n/totedb/pools.cgi?track=RET&type=0 HTTP/1.1" 200 - "-" "Mozilla/5.0 >(X11; U; Li >nux i686; en-US; rv:1.7.2) Gecko/20040804" >24.81.131.78 - - [16/Oct/2005:03:31:22 +0200] "GET >http://edit.in.yahoo.com/conf >ig/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=& >.intl=us&.bypass= >&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2. >shtml&login=this_ >lady_may_be_to_good_4u&passwd=terry HTTP/1.0" 200 - "-" "-" >24.81.131.78 - - [16/Oct/2005:03:31:24 +0200] "GET >http://edit.in.yahoo.com/conf >ig/login?.redir_from=PROFILES?&.tries=1&.src=jpg&.last=&promo=& >.intl=us&.bypass= >&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2. >shtml&login=never >lose_99&passwd=easter HTTP/1.0" 200 - "-" "-" > >200 heist doch ok??? Also da hat wirklich jemand ohne mein wissen ein >Proxy aus meinem Server gemacht??? Ich komme allerdings so >nicht drauf. > >Kann mir jemand die einträge erläutern? Ich habe ziemlich wenig >erfahrung mit Apache. > >Schaft es jemand den Server als Proxy zu verwenden? Die IP ist >194.95.77.26. Der Server ist allerdings schon lange nicht mehr im >Produktiv einsatz. Steht nur so da, als Backup. > >Also ich bitte um Hilfe. Kann ich jetzt noch ruhig schlafen, >oder sollte >ich schnell einen "halt" machen? > >Grüsse >Vlad > >--------------------------------------------------------------- >----------- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] > sonstige Anfragen an [EMAIL PROTECTED] >--------------------------------------------------------------- >----------- > > -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
