Ungewöhnlicher Apache Logeintrag

[maceis]

hallo zusammen,

habe heute morgen einen ungewöhnlichen Logeintrag in meinem Apache access_log gefunden.
211.23.6.50 - - [02/Jul/2004:09:16:35 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 200 1234

Kann mir jemand erklären was das bedeutet.
Ich habe da so einen Verdacht, aber weiss leider nichts genaues.
Die beiden IP Adressen sind übrigens in Taiwan registriert.

 

[xtian]

Also was ich dazu gefunden habe, ist dieses:

9.9 CONNECT

This specification reserves the method name CONNECT for use with a
proxy that can dynamically switch to being a tunnel (e.g. SSL
tunneling [44]).

Nachzulesen hier

Hoffe das hilft weiter, auch wenn es erst mal nicht sehr erfreulich ist! Denn 200 heißt ja OK, es hat also geklappt, aber vielleicht sehe ich ja was falsch...

xtian

 

[Jazz_Rabbit]

hallo zusammen,

habe heute morgen einen ungewöhnlichen Logeintrag in meinem Apache access_log gefunden.
211.23.6.50 - - [02/Jul/2004:09:16:35 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 200 1234

Kann mir jemand erklären was das bedeutet.
Ich habe da so einen Verdacht, aber weiss leider nichts genaues.
Die beiden IP Adressen sind übrigens in Taiwan registriert.

Riecht nach einem Hacker.. Wenn du den Status CONNECT beim Apache zulässt könnte ein tunnel gebaut werden. Hast Du mod_proxy als modul in der httpd.conf geladen? Wenn ja.. raus damit, wenn Dus nicht unbedingt brauchst.

 

[xtian]

Also doch, wollte nur nicht die Pferde scheu machen... Na da hat ja jemand ein klitze kleines Problem!

xtian

 

[mys]

Moinsen, das Problem scheinen mehr zu haben... ich hab' mal nach | 1337 1.3.3.7 Apache | gegoogelt.

Schau Dir mal die Seiten an:

http://lists.jammed.com/incidents/2002/11/0134.html
http://www.dshield.org/pipermail/list/2004-January/028759.php
http://www.nukecops.com/postitle16951-0-0-.html

Griaßle

 

[cla]

Scheint nicht ganz so tragisch zu sein. Die Anfrage ist, wie oben von anderen schon geschrieben, die Suche nach einem offenen Proxy. Vielleicht um ihn z.B. als Spam-Relay missbrauchen zu können.
Wenn du Apache out-of-the-box installiert hast, und nicht dieses besagte Modul "mod_proxy" aktiviert hast, sollte das kein Problem darstellen.
Ich bin mir jetzt zwar grad nicht mehr ganz sicher, aber Apache gibt hier deshalb ein "200"-Ergebnis aus, weil er in dem Fall (kein Proxy da) dann seinen normalen Inhalt ausgibt (index) ausgibt. Und das dann eben erfolgreich.

Die erste IP ist tatsächlich im asiatischen Raum angesiedelt...die zweite allerdings (1.3.3.7:1337) ist rein fiktiv (reservierter Bereich der IANA).

Folgende Erweiterung in der httpd.conf sollte "CONNECT" in Zukunft auflaufen lassen (gehört in den Top-Level-"Directory"-Bereich):

<LimitExcept GET POST>
Order deny, allow
Deny from all
</LimitExcept>

cu
Carsten

 

[mys]

@cla:

Full ACK

Nacht...

 

[xlqr]

n'abend

könnte es nicht

<Limit CONNECT> 
Deny from all 
</Limit>

heissen? dann wär doch nur das connect gesperrt und nicht alles ausser get und post.

auch könntest du mal schauen was 1234 gross ist (deine index vielleicht?)

über die 200 würd ich mir auch gedanken machen , auch wenn ich eher noob bin.

 

[maceis]

Vielen Dank für Eure Antworten.
Das bestätigt meine Befürchtungen.

Ich hab zwar diverse Module aktiviert (PHP, WebDAV, digest und so) aber kein proxy.

Trotzdem schmeckt mir sowas nicht.

 

[Grady]

CONNECT 1.3.3.7:1337 HTTP/1.0" 200 1234

Nur für alle, die eine solche Kombination nicht im Zusammenhang mit der Szene kennen: 1337 bedeutet soviel wie (e)leet. Ein lustiger Artikel dazu: www.heise.de/ct/00/11/003/

 

[Difool]

Nur für alle, die eine solche Kombination nicht im Zusammenhang mit der Szene kennen: 1337 bedeutet soviel wie (e)leet. Ein lustiger Artikel dazu: www.heise.de/ct/00/11/003/

hö, hö:

...idle-zeiten von ueber vier wochen sind absolut eleet.
rotfl

 

[maceis]

Nur für alle, die eine solche Kombination nicht im Zusammenhang mit der Szene kennen: 1337 bedeutet soviel wie (e)leet. Ein lustiger Artikel dazu: www.heise.de/ct/00/11/003/

Und was darf ich jetzt daraus schließen ? *g*
Auch das 200 kann ich irgendwie nicht nachvollziehen.
1234 groß ist übrigens auch nix bei mir (jedenfalls nichts, von dem ich wüsste)

 

[sevY]

Maceis… hast du etwas herausbekommen können bzw. kannst du mir Hintergründe verdeutlichen?

Ich habe diese Einträge auch auf unserem Produktivsystem (900 Domains, statische IP)… so ca. 20 Stück pro Nacht…

Lg, Yves

 

[maceis]

Maceis… hast du etwas herausbekommen können bzw. kannst du mir Hintergründe verdeutlichen?...

Nicht wirklich.

Ich habe diese Einträge auch auf unserem Produktivsystem (900 Domains, statische IP)… so ca. 20 Stück pro Nacht…
...

Auf einem Produktivsystem würde ich mir überlegen, den Tip von cla mal zu testen. Entweder bei den betroffenen Domains (ich nehme an Du machst das mit VirtualHosts) oder auch global.
Außerdem würde ich checken woher die "Angreifer"-IP's kommen, ggf. abuse-Mails versenden und evtl. die entsprechenden IP's (zumindest mal zeitweise) auf der Firewall zu blocken (mit logs aktiviert).
Deine Sorge verstehe ich, aber zu viel Gewicht würde ich dem ganzen dannoch nicht beimessen.
Ich würde allerdings jetzt besonders auf aktuelle Backups achten.

 

[sevY]

Ich habe jetzt global die Methoden HEAD GET POST erlaubt und den Rest verboten.

Nachforschungen haben ergeben, dass diese Scans einfach nur versuchen, Apache mit Mod_Proxy als Drecksschleuder zu benutzen bzw. auszuspähen.

TripWire sowie Rootkithunter hat nichts gefunden… auch in den Logfiles konnte ich nichts Verdächtiges „grep'n“.

Backups sind wunderbar… inkrementell jede Nacht ein Diskimage, stündlich ein rdiff-backup-layer.

Danke & Grüße

Yves