| Autore |
 Discussione  |
|
|
paulposition
New Member
.jpg)
41 Messaggi |
 Inserito il - 03/09/2006 : 23:53:56
|
Ciao a tutti.
nel log di apache ho trovato queste righe:
63.164.69.4 - - [03/Sep/2006:07:54:04 +0200] "GET htt*://[www].spedia.net/sp_login.htm htt*/1.1" 404 289 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Win2000)"
63.164.69.4 - - [03/Sep/2006:07:54:04 +0200] "GET htt*://[www].spedia.net/sp_login.htm htt*/1.1" 404 289 "-" "Mozilla/5.0 (compatible; MSIE 5.01; Win2000)"
Cosa significano?
il mio server è una fedora 5 x64 ubicata presso una server farm nazionale, iptables chiude tutto in ingresso tranne SSH dal mio IP e porte 25 e 80 aperte. In uscita è tutto consentito.
E' come se qualcuno avesse navigato dal mio server?
mi date una mano?
grazie
ciao
Paul
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 04/09/2006 : 00:41:57
|
| Sembra di si, che sia partita una richiesta di connessione da quell'ip all'url riportato nei log. |
 |
|
|
paulposition
New Member
41 Messaggi |
Inserito il - 04/09/2006 : 15:05:18
|
infatti, ma come è possibile?
sono assolutamente sicuro del fatto che nessuno abbia fisicamente navigato dalla postazione (anche perchè è priva di X e soprattutto di monitor/keyboard/mouse...)
ciao
Paul
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 04/09/2006 : 15:52:11
|
Prima cosa: la macchina 63.164... e` sotto il tuo controllo o no? Se si`, sei sicuro che nessuno ha avuto accesso alla macchina 63.164... fisicamente e neanche da remoto? La richiesta potrebbe essere stata causata con links (o anche lynx), oppure anche con un wget (dovrebbe esserci l'opzione per specificare l'user agent).
Se invece non e` sotto il tuo controllo, hai qualche idea del perche` potrebbe interessare la pagina sp_login.htm, se non e` pubblica? Mentre se e` pubblica, cos'e` che ti ha incuriosito? |
Modificato da - ori in data 04/09/2006 15:57:55 |
|
|
|
paulposition
New Member
41 Messaggi |
Inserito il - 04/09/2006 : 16:00:55
|
mi ha incuriosito il semplice fatto che l'IP 63.164.69.4 non è roba mia e soprattutto che il sito visitato non è sul mio server, non lo conosco nemmeno.
Sembrerebbe che fosse partita una richiesta da parte dell'IP 63.164.69.4 per vedere htt*://[www].spedia.net/sp_login.htm che non è sul mio server !!
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 04/09/2006 : 16:30:58
|
| Strano che ci sia una richiesta di una pagina di un sito che non sia sul tuo server. Comunque, il formato della riga del log sembra prodotta da una richiesta fatta direttamente via telnet (per alcune prove che ho fatto, via browser dovrebbe esserci uno / prima di htt*://[www]...). |
Modificato da - ori in data 04/09/2006 16:31:51 |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 04/09/2006 : 18:49:38
|
| Può essere che non sia un problema di apache, ma di fedora, che ha permesso a qualche intruso di entrare sfruttando qualche punto debole. Il server lo hai installato tu? |
|
|
|
paulposition
New Member
41 Messaggi |
Inserito il - 04/09/2006 : 21:21:27
|
si l'ho fatto io.
E' una FC5 x64, i servizi attivi sono apache e qmail+vpopmail+mysql.
Le porte aperte da iptables sono 25 80 110 e 443.
Tutto il resto è chiuso, ho disattivato selinux perchè ho problemi con vpopmail.
Per SSH ho anche installato uno script (denyhosts) che fa il parsing del secure log e inserisce in /etc/hosts.deny tutte gli IP che tentano bruteforce.
Versione kernel 2.6.17-1.2157_FC5
ciao
P. |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 04/09/2006 : 21:56:11
|
| uhmm.. secondo me non sarebbe meglio un sistema meno giovane? O quantomeno un kernel più stabile e testato.. uno dei primi della serie 2.6, in fondo ci fai girare pochi servizi. Una debian stable? La butto li :P |
|
|
|
paulposition
New Member
41 Messaggi |
Inserito il - 04/09/2006 : 22:06:56
|
l'ho pensato anch'io ma purtroppo con debian nn ho molto feeling...
o forse sarò affezionato a redhat visto che la uso dalla 5, tutte le versioni fino alla 9 e poi son passato a fedora.
Comunque pensavo di downgradare il kernel anche perschè mi si è inaspettatamente piantata la macchina, con una bella schermata di dump della memoria o simile in console e nulla nei log.
Per ora ho ovviato al problema usando un watchdog software che effettua un reboot forzato in casi estremi.
Nella mia configurazione utilizzo drbd ed heartbeat e quindi devo trovare un kernel compatibile, ho provato a ricompilarlo da me, ma poi scopro che alla fine mi manca sempre qualche mod che mi son dimenticato di includere....
ciao e grazie,
Paul |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 04/09/2006 : 22:11:14
|
Bhè non mi sembri un novello :P debian in fondo non è così difficile :D
Speriamo che un down risolva ;) |
|
|
|
paulposition
New Member
41 Messaggi |
Inserito il - 04/09/2006 : 22:53:40
|
ehmm grazie, purtroppo quello che manca è sempre il tempo per studiare e sviluppare, mi son fatto la settimana di ferragosto in ufficio rischiando i pugni della fidanzata  x mettere in piedi quel sistema..
ti farò sapere
grazie
Paul |
|
|
|
Moreno1975
Starting Member
1 Messaggi |
Inserito il - 18/09/2006 : 14:57:28
|
Ciao provo a darti uno spunto...a me è capitata la stessa cosa.. dovresti cercare di risalire alla prima volta che è stata effettuata quel tipo di connessione.Sicuramente poco prima di quella, l'attaccante ho scoperto il bug che gli permette di navigare tramite il tuo server, addirittura potrebbere essere uno script che lavora in automatico..
Prova a cercare in /tmp e poi un altra cosa, hai una versione di Mambo installata ?
|
|
|
| |
Discussione |
|
Problema sicurezza apache
Forum Bloccato
