[sisyphus] Что с этим сделать?

[sisyphus] Что с этим сделать?

[Arcady V. Ivanov]

Модем радостно моргает на отправку. Стал разбираться.
Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
эти спаммеры используют Мой httpd для отправки почты:
------------------------------------------------------------------------
198.64.182.57 - - [30/May/2003:17:00:19 +1300] "CONNECT 167.206.5.3:25 
HTTP/1.0" 200 6365 "-" "-"
192.217.229.195 - - [30/May/2003:17:00:20 +1300] "CONNECT 
209.66.100.66:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.26 - - [30/May/2003:17:00:20 +1300] "CONNECT 64.12.136.89:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.26 - - [30/May/2003:17:00:20 +1300] "CONNECT 192.208.34.46:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.25 - - [30/May/2003:17:00:20 +1300] "CONNECT 65.54.254.129:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.55 - - [30/May/2003:17:00:21 +1300] "CONNECT 64.12.137.184:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.26 - - [30/May/2003:17:00:21 +1300] "CONNECT 64.12.137.184:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.55 - - [30/May/2003:17:00:22 +1300] "CONNECT 
205.188.158.25:25 HTTP/1.0" 200 6365 "-" "-"
198.64.186.105 - - [30/May/2003:17:00:23 +1300] "CONNECT 
64.12.138.152:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.25 - - [30/May/2003:17:00:23 +1300] "CONNECT 65.54.254.145:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.186.108 - - [30/May/2003:17:00:25 +1300] "CONNECT 
130.179.16.23:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.57 - - [30/May/2003:17:00:26 +1300] "CONNECT 212.74.114.9:25 
HTTP/1.0" 200 6365 "-" "-"
192.217.229.121 - - [30/May/2003:17:00:26 +1300] "CONNECT 
152.163.224.26:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.23 - - [30/May/2003:17:00:26 +1300] "CONNECT 207.69.200.38:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.53 - - [30/May/2003:17:00:27 +1300] "CONNECT 
202.30.143.100:25 HTTP/1.0" 200 6365 "-" "-"
192.217.229.209 - - [30/May/2003:17:00:27 +1300] "CONNECT 
199.200.9.140:25 HTTP/1.0" 200 6365 "-" "-"
198.64.186.108 - - [30/May/2003:17:00:28 +1300] "CONNECT 
64.12.137.152:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.25 - - [30/May/2003:17:00:28 +1300] "CONNECT 64.12.137.184:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.25 - - [30/May/2003:17:00:28 +1300] "CONNECT 204.200.26.52:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.25 - - [30/May/2003:17:00:28 +1300] "CONNECT 64.12.136.121:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.186.108 - - [30/May/2003:17:00:28 +1300] "CONNECT 64.12.136.57:25 
HTTP/1.0" 200 6365 "-" "-"
192.217.229.209 - - [30/May/2003:17:00:29 +1300] "CONNECT 
65.54.252.99:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.58 - - [30/May/2003:17:00:32 +1300] "CONNECT 64.12.137.152:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.58 - - [30/May/2003:17:00:32 +1300] "CONNECT 
213.21.176.244:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.48 - - [30/May/2003:17:00:33 +1300] "CONNECT 
205.188.158.25:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.53 - - [30/May/2003:17:00:33 +1300] "CONNECT 
152.163.225.138:25 HTTP/1.0" 200 6365 "-" "-"
198.64.182.53 - - [30/May/2003:17:00:33 +1300] "CONNECT 65.54.254.140:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.57 - - [30/May/2003:17:00:35 +1300] "CONNECT 
217.11.239.154:25 HTTP/1.0" 200 6365 "-" "-"
198.64.186.104 - - [30/May/2003:17:00:36 +1300] "CONNECT 
194.163.252.74:25 HTTP/1.0" 200 6365 "-" "-"
198.64.186.101 - - [30/May/2003:17:00:36 +1300] "CONNECT 
204.177.79.208:25 HTTP/1.0" 200 6365 "-" "-"
198.64.186.104 - - [30/May/2003:17:00:38 +1300] "CONNECT 65.54.252.99:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.186.104 - - [30/May/2003:17:00:38 +1300] "CONNECT 129.128.5.73:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.56 - - [30/May/2003:17:00:39 +1300] "CONNECT 165.21.74.115:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.56 - - [30/May/2003:17:00:39 +1300] "CONNECT 64.12.136.121:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.26 - - [30/May/2003:17:00:39 +1300] "CONNECT 64.12.138.120:25 
HTTP/1.0" 200 6365 "-" "-"
198.64.182.47 - - [30/May/2003:17:00:39 +1300] "CONNECT 200.52.207.52:25 
HTTP/1.0" 200 6365 "-" "-"
-----------------------------------------------------------------------------

Подскажите - как правильно с этим бороться?

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru, Instant messenger : arc@jabber.ru

Re: [sisyphus] Что с этим сделать?

[Mike Lykov]

В сообщении от Пятница 30 Май 2003 09:05 Arcady V. Ivanov написал:
> Модем радостно моргает на отправку. Стал разбираться.
> Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
> эти спаммеры используют Мой httpd для отправки почты:

> 198.64.182.26 - - [30/May/2003:17:00:20 +1300] "CONNECT 64.12.136.89:25
> HTTP/1.0" 200 6365 "-" "-"

Не почты, а аськи через http прокси.

> Подскажите - как правильно с этим бороться?

запретить, очевидно ;)

-- 
Mike
registered linux user #315334
machine registration number #200724

Re: [sisyphus] Что с этим сделать?

[Alexey Morozov]

On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
> Модем радостно моргает на отправку. Стал разбираться.
> Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
> эти спаммеры используют Мой httpd для отправки почты:
Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
документацию на mod_proxy и директивы allow/deny

Re: [sisyphus] Что с этим сделать?

[Arcady V. Ivanov]

Alexey Morozov пишет:

>On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
>  
>
>>Модем радостно моргает на отправку. Стал разбираться.
>>Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
>>эти спаммеры используют Мой httpd для отправки почты:
>>    
>>
>Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
>документацию на mod_proxy и директивы allow/deny
>  
>
Часть желающих я прикрыл через iptables. С других сеток полезли, гады :o


Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6) PHP/4.1.2/ALT 
rus/PL30.11

Что то я не понимаю, вот дословно то, что в моём /etc/httpd/httpd.conf 
касается mod_proxy:

#AddModule mod_proxy.c

А вот свежий лог (минутной давности):
63.161.217.202 - - [30/May/2003:18:50:30 +1300] "CONNECT 209.153.3.15:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:50:55 +1300] "CONNECT 
65.54.254.129:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:51:12 +1300] "CONNECT 64.66.0.8:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:51:43 +1300] "CONNECT 
192.223.198.26:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:52:31 +1300] "CONNECT 
65.54.252.230:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:52:35 +1300] "CONNECT 
205.188.158.57:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:53:31 +1300] "CONNECT 
216.251.192.11:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:53:57 +1300] "CONNECT 
207.217.120.249:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:54:02 +1300] "CONNECT 
65.54.252.230:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:58:34 +1300] "CONNECT 
64.62.166.104:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:58:40 +1300] "CONNECT 12.9.6.40:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:58:42 +1300] "CONNECT 64.66.81.148:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:58:46 +1300] "CONNECT 
130.244.199.222:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.202 - - [30/May/2003:18:58:56 +1300] "CONNECT 65.166.240.5:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:18:59:26 +1300] "CONNECT 212.74.114.7:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:19:00:10 +1300] "CONNECT 
217.32.164.150:25 HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:19:00:55 +1300] "CONNECT 64.136.28.83:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:19:00:59 +1300] "CONNECT 65.54.252.99:25 
HTTP/1.0" 200 6365 "-" "-"
63.161.217.204 - - [30/May/2003:19:01:17 +1300] "CONNECT 166.82.29.9:25 
HTTP/1.0" 200 6365 "-" "-"

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru, Instant messenger : arc@jabber.ru

Re: [sisyphus] Что с этим сделать?

[Maxim.Savrilov]

On Fri, 30 May 2003 19:04:22 +1300
"Arcady V. Ivanov" <arc@help0.ru> wrote:

> Alexey Morozov пишет:
> 
> >On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
> >  
> >
> >>Модем радостно моргает на отправку. Стал разбираться.
> >>Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
> >>эти спаммеры используют Мой httpd для отправки почты:
> >>    
> >>
> >Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
> >документацию на mod_proxy и директивы allow/deny
> >  
> >
> Часть желающих я прикрыл через iptables. С других сеток полезли, гады :o
> 
> 
> Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6) PHP/4.1.2/ALT 
> rus/PL30.11
> 
> Что то я не понимаю, вот дословно то, что в моём /etc/httpd/httpd.conf 
> касается mod_proxy:
> 
> #AddModule mod_proxy.c
> 
> А вот свежий лог (минутной давности):
> 63.161.217.202 - - [30/May/2003:18:50:30 +1300] "CONNECT 209.153.3.15:25 
> HTTP/1.0" 200 6365 "-" "-"

давно я с iptables не общался, но что-то типа этого должно пойти

iptables -A INPUT -i ppp0 -p tcp --syn -s 0.0.0.0/0 --source-port 25 --destination-port 80 -j DROP

[sisyphus] Re: Что с этим сделать?

[Artem K. Jouravsky]

[-- Attachment #1: Type: text/plain, Size: 912 bytes --]

On Fri, May 30, 2003 at 01:25:32PM +0700, Maxim.Savrilov@socenter.ru wrote:
> > Часть желающих я прикрыл через iptables. С других сеток полезли, гады :o
> > 
> > 
> > Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6) PHP/4.1.2/ALT 
> > rus/PL30.11
> > 
> > Что то я не понимаю, вот дословно то, что в моём /etc/httpd/httpd.conf 
> > касается mod_proxy:
> > 
> > #AddModule mod_proxy.c
> > 
> > А вот свежий лог (минутной давности):
> > 63.161.217.202 - - [30/May/2003:18:50:30 +1300] "CONNECT 209.153.3.15:25 
> > HTTP/1.0" 200 6365 "-" "-"
> 
> давно я с iptables не общался, но что-то типа этого должно пойти
> 
> iptables -A INPUT -i ppp0 -p tcp --syn -s 0.0.0.0/0 --source-port 25 --destination-port 80 -j DROP
Скорее, наоборот, с 80 на 25 порт.

-- 
Best wishes,
	Artem K. Jouravsky.  
  JabberID: ujo@jabber.ru
iFirst Ltd, System Administrator.
-----------------------
Местами стать бы Гулливером 

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: Что с этим сделать?

[Denis S. Filimonov]

On Friday 30 May 2003 13:46, Artem K. Jouravsky wrote:
> On Fri, May 30, 2003 at 01:25:32PM +0700, Maxim.Savrilov@socenter.ru 
wrote:
> > > Часть желающих я прикрыл через iptables. С других сеток полезли,
> > > гады :o
> > >
> > >
> > > Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6)
> > > PHP/4.1.2/ALT rus/PL30.11
> > >
> > > Что то я не понимаю, вот дословно то, что в моём
> > > /etc/httpd/httpd.conf касается mod_proxy:
> > >
> > > #AddModule mod_proxy.c
> > >
> > > А вот свежий лог (минутной давности):
> > > 63.161.217.202 - - [30/May/2003:18:50:30 +1300] "CONNECT
> > > 209.153.3.15:25 HTTP/1.0" 200 6365 "-" "-"
> >
> > давно я с iptables не общался, но что-то типа этого должно пойти
> >
> > iptables -A INPUT -i ppp0 -p tcp --syn -s 0.0.0.0/0 --source-port
> > 25 --destination-port 80 -j DROP
>
> Скорее, наоборот, с 80 на 25 порт.
Едва ли. Ведь httpd будет открывать _новое_ соединение, и source-port у 
него будет не 80

Re: [sisyphus] Что с этим сделать?

[Dmitry Ivanov]

On Fri, May 30, 2003 at 07:04:22PM +1300, Arcady V. Ivanov wrote:
> Alexey Morozov пишет:
> 
> >On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
> > 
> >
> >>Модем радостно моргает на отправку. Стал разбираться.
> >>Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
> >>эти спаммеры используют Мой httpd для отправки почты:
> >>   
> >>
> >Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
> >документацию на mod_proxy и директивы allow/deny
> > 
> >
> Часть желающих я прикрыл через iptables. С других сеток полезли, гады :o
> 
> 
> Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6) PHP/4.1.2/ALT 
> rus/PL30.11
> 
> Что то я не понимаю, вот дословно то, что в моём /etc/httpd/httpd.conf 
> касается mod_proxy:
> 
> #AddModule mod_proxy.c

Давайте рассуждать конструктивно.

Кто-то же обрабатывает CONNECT'ы? Что _ещё_
написано про mod_proxy? Какие ещё модули 
способны делать это?

Тот ли это конфиг? Не собран ли apache статически
с mod_proxy?

-- 
D.I.M.S.S.: Digital Intelligent Machine Skilled in Sabotage

Re: [sisyphus] Что с этим сделать?

[Dmitry Ivanov]

On Fri, May 30, 2003 at 07:04:22PM +1300, Arcady V. Ivanov wrote:
> Alexey Morozov пишет:
> 
> >On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
> > 
> >
> >>Модем радостно моргает на отправку. Стал разбираться.
> >>Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
> >>эти спаммеры используют Мой httpd для отправки почты:
> >>   
> >>
> >Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
> >документацию на mod_proxy и директивы allow/deny
> > 
> >
> Часть желающих я прикрыл через iptables. С других сеток полезли, гады :o
> 
> 
> Вот это то, с чем работаю: Apache/1.3.23 (ALT Linux/alt6) PHP/4.1.2/ALT 
> rus/PL30.11
> 
> Что то я не понимаю, вот дословно то, что в моём /etc/httpd/httpd.conf 
> касается mod_proxy:
> 
> #AddModule mod_proxy.c
> 
> А вот свежий лог (минутной давности):
> 63.161.217.202 - - [30/May/2003:18:50:30 +1300] "CONNECT 209.153.3.15:25 
> HTTP/1.0" 200 6365 "-" "-"

Я провёл эксперимент и всё понял!

Apache всегда отрабатывает CONNECT,
но выдаёт то, что выдавал бы по GET :)

Так что клиенты действительно получают 200
и какое-то содержимое. Попробуйте сами:

telnet localhost 8080
CONNECT 123.12.4.123:25 HTTP/1.0



-- 
D.I.M.S.S.: Digital Intelligent Machine Skilled in Sabotage

Re: [sisyphus] Что с этим сделать?

[Arcady V. Ivanov]

Alexey Morozov пишет:

>On Fri, May 30, 2003 at 04:05:01PM +1200, Arcady V. Ivanov wrote:
>  
>
>>Модем радостно моргает на отправку. Стал разбираться.
>>Вот малюсенький кусочек логов любимой Апачи. Как я понимаю,
>>эти спаммеры используют Мой httpd для отправки почты:
>>    
>>
>Вау. Отключать mod_proxy к едреной фене, а потом внимательно читать
>документацию на mod_proxy и директивы allow/deny
>  
>
Вообще я попробовал заглянуть на свой сервак снаружи.
Смахивает просто на DoS-атаку. По команде "CONNECT ?.?.?.?:25" мой сервер
радостно выкидывает первую страницу самому запрашивающему.

А mod_proxy включай/выключай - эта фигня всё равно происходит.

Может есть у кого комментарии?

-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru, Instant messenger : arc@jabber.ru

Re: [sisyphus] Что с этим сделать?

[Mike Lykov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 861 bytes --]

В сообщении от Пятница 30 Май 2003 12:34 Arcady V. Ivanov написал:

> Вообще я попробовал заглянуть на свой сервак снаружи.
> Смахивает просто на DoS-атаку. По команде "CONNECT ?.?.?.?:25" мой сервер
> радостно выкидывает первую страницу самому запрашивающему.
>
> А mod_proxy включай/выключай - эта фигня всё равно происходит.
>
> Может есть у кого комментарии?

1. Многочисленные ошибки в Apache (multiple bugs)
    Опубликовано: 29 мая 2003 г.
    Источник:     BUGTRAQ
    Тип:          удаленная
    Опасность:    6
    Описание:     Ошибки приводящие к удаленным DoS атакам.
    Продукты:     APACHE: Apache 2.0
    Документы:    APACHE: [SECURITY] [ANNOUNCE] Apache 2.0.46
                  released,
                  http://www.security.nnov.ru/search/document.asp?docid=4604

думаю, что стоит всем обновить, хотя это может и не быть связано.

-- 
Mike

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 307 bytes --]

Re: [sisyphus] Что с этим сделать?

[Alexander Bokovoy]

On Fri, May 30, 2003 at 12:45:08PM +0500, Mike Lykov wrote:
> 1. Многочисленные ошибки в Apache (multiple bugs)
>     Опубликовано: 29 мая 2003 г.
>     Источник:     BUGTRAQ
>     Тип:          удаленная
>     Опасность:    6
>     Описание:     Ошибки приводящие к удаленным DoS атакам.
>     Продукты:     APACHE: Apache 2.0
>     Документы:    APACHE: [SECURITY] [ANNOUNCE] Apache 2.0.46
>                   released,
>                   http://www.security.nnov.ru/search/document.asp?docid=4604
> 
> думаю, что стоит всем обновить, хотя это может и не быть связано.
Мы не поставляем Apache 2.0 в наших дистрибутивах. Его также нет в Сизифе.
Apache 2.0 в виде экспериментальной сборки присутствует только в Daedalus.
-- 
/ Alexander Bokovoy
---
Systems programmers are the high priests of a low cult.
		-- R.S. Barton

Re: [sisyphus] Что с этим сделать?

[Mike Lykov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 383 bytes --]

В сообщении от Пятница 30 Май 2003 12:51 Alexander Bokovoy написал:

> Мы не поставляем Apache 2.0 в наших дистрибутивах. Его также нет в Сизифе.
> Apache 2.0 в виде экспериментальной сборки присутствует только в Daedalus.

ааа.. да, я забыл. хотя стратегия непонятна - чем 2.* не угодил...

придется брать из daedalus, что ли. или самому собирать.. но как-то некошерно 
;)

-- 
Mike

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 307 bytes --]

Re: [sisyphus] Что с этим сделать?

[Alexander Bokovoy]

On Fri, May 30, 2003 at 01:11:49PM +0500, Mike Lykov wrote:
Content-Description: signed data
> В сообщении от Пятница 30 Май 2003 12:51 Alexander Bokovoy написал:
> 
> > Мы не поставляем Apache 2.0 в наших дистрибутивах. Его также нет в Сизифе.
> > Apache 2.0 в виде экспериментальной сборки присутствует только в Daedalus.
> 
> ааа.. да, я забыл. хотя стратегия непонятна - чем 2.* не угодил...
Мы (и многие другие) пока не готовы к переходу на 2.0. Несмотря на
заявления ASF, он все же еще сыроват для промышленного использования.

> придется брать из daedalus, что ли. или самому собирать.. но как-то некошерно 
> ;)
Что поделаешь. Финны, например, в production до сих пор ставят RH 7.3,
несмотря на то, что уже RH 9 вышел. И ничего.

-- 
/ Alexander Bokovoy
---
No bird soars too high if he soars with his own wings.
		-- William Blake

Re: [sisyphus] Что с этим сделать?

[Arcady V. Ivanov]

Alexander Bokovoy пишет:

>On Fri, May 30, 2003 at 12:45:08PM +0500, Mike Lykov wrote:
>  
>
>>1. Многочисленные ошибки в Apache (multiple bugs)
>>    Опубликовано: 29 мая 2003 г.
>>    Источник:     BUGTRAQ
>>    Тип:          удаленная
>>    Опасность:    6
>>    Описание:     Ошибки приводящие к удаленным DoS атакам.
>>    Продукты:     APACHE: Apache 2.0
>>    Документы:    APACHE: [SECURITY] [ANNOUNCE] Apache 2.0.46
>>                  released,
>>                  http://www.security.nnov.ru/search/document.asp?docid=4604
>>
>>думаю, что стоит всем обновить, хотя это может и не быть связано.
>>    
>>
>Мы не поставляем Apache 2.0 в наших дистрибутивах. Его также нет в Сизифе.
>Apache 2.0 в виде экспериментальной сборки присутствует только в Daedalus.
>  
>
К вопросу о релизах - у меня как раз Апача из коробки с Мастером 2.2

Её то и заваливают, точнее не её, а канал. Всё расследование началось,
когда ping-и до провайдера начали пропадать. Эти уроды веселились 4 дня,
навалили трафику 600Mb (я уже превысил лимит, придётся доплачивать).
Перекрестился, что уже месяца 3 ленюсь DSL на 2 Mbit у провайдера 
установить.

Так что проблема странная существует и похоже, что желающих сделать
"CONNECT x.x.x.x:25" надо сразу через iptables пропускать. Навсегда и
насмерть. :-(


-- 
SY. Arcady. mailto:arc@help0.ru, WWW - http://www.help0.ru, Instant messenger : arc@jabber.ru

Re: [sisyphus] Что с этим сделать?

[Maxim.Savrilov]

On Fri, 30 May 2003 21:13:23 +1300
"Arcady V. Ivanov" <arc@help0.ru> wrote:

> Её то и заваливают, точнее не её, а канал. Всё расследование началось,
> когда ping-и до провайдера начали пропадать. Эти уроды веселились 4 дня,
> навалили трафику 600Mb (я уже превысил лимит, придётся доплачивать).
> Перекрестился, что уже месяца 3 ленюсь DSL на 2 Mbit у провайдера 
> установить.
> 
> Так что проблема странная существует и похоже, что желающих сделать
> "CONNECT x.x.x.x:25" надо сразу через iptables пропускать. Навсегда и
> насмерть. :-(

http://www.atmsk.ru/viewtopic.php?t=838

попробуйте поставить
ну и мож добавите чего

Re: [sisyphus] Что с этим сделать?

[Alexey Morozov]

On Fri, May 30, 2003 at 08:13:23PM +1200, Arcady V. Ivanov wrote:
> Её то и заваливают, точнее не её, а канал. Всё расследование началось,
> когда ping-и до провайдера начали пропадать. Эти уроды веселились 4 дня,
> навалили трафику 600Mb (я уже превысил лимит, придётся доплачивать).
> Перекрестился, что уже месяца 3 ленюсь DSL на 2 Mbit у провайдера 
> установить.
> 
> Так что проблема странная существует и похоже, что желающих сделать
> "CONNECT x.x.x.x:25" надо сразу через iptables пропускать. Навсегда и
> насмерть. :-(
Вообще, странно. Глядите:
-----------------------
alex@pyro www/html/download $ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
CONNECT 192.168.0.2:25 HTTP/1.0   

HTTP/1.1 405 Method Not Allowed
Date: Fri, 30 May 2003 15:06:04 GMT
Server: Apache/1.3.27 (ALT Linux/alt13) mod_ssl/2.8.12 OpenSSL/0.9.6g PHP/4.3.1-de
/ALT rus/PL30.16
Allow: GET, HEAD, OPTIONS, TRACE
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>405 Method Not Allowed</TITLE>
</HEAD><BODY>
<H1>Method Not Allowed</H1>
The requested method CONNECT is not allowed for the URL /index.shtml.<P>
<HR>
<ADDRESS>Apache/1.3.27 Server at pyro.hopawar.private.net Port 80</ADDRESS>
</BODY></HTML>
Connection closed by foreign host.
-------------------------
По-моему, так все предсказуемо и замечательно. 
Нужно смотреть локальные настройки.
если же беспокоит траффик, генерящийся именно этим запросом, то его надо
отрубать [на провайдере].

[sisyphus] Re: Что с этим сделать?

[Michael Shigorin]

On Fri, May 30, 2003 at 09:13:23PM +1300, Arcady V. Ivanov wrote:
> Её то и заваливают, точнее не её, а канал. Всё расследование началось,
> когда ping-и до провайдера начали пропадать. Эти уроды веселились 4 дня,
> навалили трафику 600Mb (я уже превысил лимит, придётся доплачивать).

whois по адресам и письма с цитатами на abuse@ соотв. ISPs.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/