© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am Fr, den 03.09.2004 schrieb phileon um 1:58:
> Hallo,
>
> da seit einigen Tagen der Traffic bei einem System angestiegen ist,
> suchte ich nach der Ursache und wurde in einem access_log einer Domain
> fündig.
> Dieser wird seit ein paar Tagen in nachts überschüttet mit diesen
> Einträgen (siehe unten).
>
> Kann ich jene sofort blockieren - bzw. welche Tools verursachen dies
> und mit welchem Hintergedanken?
Ist der Apache als Proxy konfiguriert ?
Bzw. falsch konfiguriert ?
CONNECT wird normalerweise bei einem Proxy dazu benutzt,
SSL-Verbindungen durchzureichen (die man ja qua definition nicht
zwischenspeichern kann).
> Vielen Dank für eure Hilfe!
>
> Grüße,
> Jan
>
> PS Mein erster Gedanke war Tool zur Suche von openrelays ... warum dann
> aber HTTP Anfragen...
> PPS Mailserver ist übrigens abgesichert (smtp-auth)
>
> [...]
> 82.80.252.162 - - [03/Sep/2004:01:25:18 +0200] "CONNECT
> 143.166.224.193:25 HTTP/1.0" 200 8511 "-" "-"
Das ist Dell...
Schön, das die auch ihren Teil vom großen Kuchen abbekommen.
> 82.80.252.171 - - [03/Sep/2004:01:25:18 +0200] "CONNECT
> 206.190.36.244:25 HTTP/1.0" 200 8511 "-" "-"
Das ist Yahoo...
> 82.80.252.147 - - [03/Sep/2004:01:25:18 +0200] "CONNECT 216.68.8.211:25
irgendein anderer ISP.
Undsoweiter.
Definitiv SPAM. Oder Spam. Eines von beiden bezeichnet ja das
Frühstücksfleisch...
http://www.kb.cert.org/vuls/id/150227
In diesem Sinne: Mahlzeit !
Rainer
-- =================================================== ~ Rainer Duffner - rainer(at)ultra-secure.de ~ ~ Freising - Munich - Germany ~ ~ Unix - Linux - BSD - OpenSource - Security ~ ~ http://www.ultra-secure.de/~rainer/pubkey.pgp ~ =================================================== To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 03 Sep 2004 - 08:38:40 CEST