RE: registro extraño en log apache

Juan Pablo Tamayo jptamayo en uno.cl
Vie Jun 25 17:39:13 CLT 2004


Estuve buscando informacion y como tenia entendido Apache no es vulnerable,
por omision, a dicha "funcionalidad".
<http://www.kb.cert.org/vuls/id/150227>

Solo si el administrador del sitio habilita mod_proxy y malconfigura la
directiva AllowCONNECT se genera la vulnerabilidad.

En este sitio hay un script para revisar por un "open proxy":
<http://www.unicom.com/sw/pxytest/>

De cualquier manera Ricardo puede estar tranquilo ya que el codigo de estado
devuelto es 405: "Method Not Allowed" (Ver seccion 10.4.6 del rfc2616)

Saludos!
JPT



-----Original Message-----
From: Juan Pablo Tamayo [mailto:jptamayo en uno.cl]
Sent: Fri 6/25/2004 3:25 PM
To: Discusion de Linux en Castellano
Subject: RE: registro extraño en log apache
 
Ricardo, tienes habilitado mod_proxy? "algo" trato de usar tu Apache como
proxy para ir a yahoo.
Alvaro, donde hay info. sobre esta "funcionalidad para enviar spam"?

Saludos!
JPT



-----Original Message-----
From: Alvaro Herrera [mailto:alvherre en dcc.uchile.cl]
Sent: Fri 6/25/2004 1:29 PM
To: linux en listas.inf.utfsm.cl
Subject: Re: registro extraño en log apache
 
On Fri, Jun 25, 2004 at 11:54:10AM -0300, Ricardo - Eureka! wrote:

> En un servidor Apache han aparecido en el access.log, una serie de
registros como el que sigue:
> 66.666.666.66 - - [31/May/2004:00:08:18 -0300] "CONNECT 66.94.230.46:80
HTTP/1.1" 405 306 "-" "-"
> 
> Googleando, no se aclaro en lo mas minimo...

Me parece que era un intento de usar tu servidor web como intermediario
para conectarse a otra parte.  Entiendo que durante un tiempo se estuvo
explotando esta funcionalidad para enviar spam.  No parece que haya sido
tu caso (por el puerto de destino).  De todas formas el paquete es
sospechoso, por lo de 66.666.666.66; ni siquiera un paquete forjado a
mano podria ser asi ...

-- 
Alvaro Herrera (<alvherre[a]dcc.uchile.cl>)
Este mail se entrega garantizadamente 100% libre de sarcasmo.


------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/ms-tnef
Tamaño     : 3918 bytes
Descripción: no disponible
Url        : https://listas.inf.utfsm.cl/pipermail/linux/attachments/20040625/ef30cecf/attachment-0001.bin


Más información sobre la lista de distribución Linux