Ungewöhnlicher Apache Logeintrag

Dieses Thema im Forum "Mac OS X - Unix & Terminal" wurde erstellt von maceis, 02.07.2004.

  1. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    MacUser seit:
    24.09.2003
    hallo zusammen,

    habe heute morgen einen ungewöhnlichen Logeintrag in meinem Apache access_log gefunden.
    211.23.6.50 - - [02/Jul/2004:09:16:35 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 200 1234

    Kann mir jemand erklären was das bedeutet.
    Ich habe da so einen Verdacht, aber weiss leider nichts genaues.
    Die beiden IP Adressen sind übrigens in Taiwan registriert.
     
  2. xtian

    xtian MacUser Mitglied

    Beiträge:
    375
    Zustimmungen:
    2
    MacUser seit:
    28.04.2004
    Also was ich dazu gefunden habe, ist dieses:
    Nachzulesen hier

    Hoffe das hilft weiter, auch wenn es erst mal nicht sehr erfreulich ist! Denn 200 heißt ja OK, es hat also geklappt, aber vielleicht sehe ich ja was falsch...

    xtian
     
    Zuletzt bearbeitet: 03.07.2004
  3. Jazz_Rabbit

    Jazz_Rabbit MacUser Mitglied

    Beiträge:
    1.137
    Zustimmungen:
    33
    MacUser seit:
    20.09.2002
    Riecht nach einem Hacker.. Wenn du den Status CONNECT beim Apache zulässt könnte ein tunnel gebaut werden. Hast Du mod_proxy als modul in der httpd.conf geladen? Wenn ja.. raus damit, wenn Dus nicht unbedingt brauchst.
     
  4. xtian

    xtian MacUser Mitglied

    Beiträge:
    375
    Zustimmungen:
    2
    MacUser seit:
    28.04.2004
    Also doch, wollte nur nicht die Pferde scheu machen... Na da hat ja jemand ein klitze kleines Problem!

    xtian
     
  5. mys

    mys MacUser Mitglied

    Beiträge:
    422
    Zustimmungen:
    0
    MacUser seit:
    02.02.2004
    Zuletzt bearbeitet: 03.07.2004
  6. cla

    cla MacUser Mitglied

    Beiträge:
    2.958
    Zustimmungen:
    128
    MacUser seit:
    24.10.2003
    Scheint nicht ganz so tragisch zu sein. Die Anfrage ist, wie oben von anderen schon geschrieben, die Suche nach einem offenen Proxy. Vielleicht um ihn z.B. als Spam-Relay missbrauchen zu können.
    Wenn du Apache out-of-the-box installiert hast, und nicht dieses besagte Modul "mod_proxy" aktiviert hast, sollte das kein Problem darstellen.
    Ich bin mir jetzt zwar grad nicht mehr ganz sicher, aber Apache gibt hier deshalb ein "200"-Ergebnis aus, weil er in dem Fall (kein Proxy da) dann seinen normalen Inhalt ausgibt (index) ausgibt. Und das dann eben erfolgreich.

    Die erste IP ist tatsächlich im asiatischen Raum angesiedelt...die zweite allerdings (1.3.3.7:1337) ist rein fiktiv (reservierter Bereich der IANA).

    Folgende Erweiterung in der httpd.conf sollte "CONNECT" in Zukunft auflaufen lassen (gehört in den Top-Level-"Directory"-Bereich):

    <LimitExcept GET POST>
    Order deny, allow
    Deny from all
    </LimitExcept>

    cu
    Carsten
     
  7. mys

    mys MacUser Mitglied

    Beiträge:
    422
    Zustimmungen:
    0
    MacUser seit:
    02.02.2004
    @cla:

    Full ACK

    Nacht...
     
  8. xlqr

    xlqr MacUser Mitglied

    Beiträge:
    1.943
    Zustimmungen:
    15
    MacUser seit:
    08.09.2003
    n'abend

    könnte es nicht
    Code:
    <Limit CONNECT> 
    Deny from all 
    </Limit> 
    
    heissen? dann wär doch nur das connect gesperrt und nicht alles ausser get und post.

    auch könntest du mal schauen was 1234 gross ist (deine index vielleicht?)

    über die 200 würd ich mir auch gedanken machen ;), auch wenn ich eher noob bin.
     
  9. maceis

    maceis Thread Starter MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    MacUser seit:
    24.09.2003
    Vielen Dank für Eure Antworten.
    Das bestätigt meine Befürchtungen.

    Ich hab zwar diverse Module aktiviert (PHP, WebDAV, digest und so) aber kein proxy.

    Trotzdem schmeckt mir sowas nicht.
     
  10. Grady

    Grady MacUser Mitglied

    Beiträge:
    2.277
    Zustimmungen:
    0
    MacUser seit:
    25.04.2003
    Nur für alle, die eine solche Kombination nicht im Zusammenhang mit der Szene kennen: 1337 bedeutet soviel wie (e)leet. Ein lustiger Artikel dazu: www.heise.de/ct/00/11/003/
     

Diese Seite empfehlen