85335
Mar 21, 2010, updated at 13:19:28 (UTC)
7430
0
0
CONNECT IP Port 25 unterbinden
Hi,
ich habe ein Problem mit der Konfiguration von Apache (xampp).
In meiner Log habe ich folgenden Eintrag entdeckt:
access.log:
118.170.250.147 - - [20/Mar/2010:18:57:49 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 200 9735
error.log:
[Sat Mar 20 18:57:49 2010] [info] [client 118.170.250.147] (OS 10053)Eine bestehende Verbindung wurde softwaregesteuert durch den Hostcomputer abgebrochen. : core_output_filter: writing data to the network
Offensichtlich wird mein Server als Spamschleuder missbraucht.
Jetzt blättere ich schon die ganze Zeit durch die config-Files vom Apache, finde jedoch keinen Eintrag mit dem ich das untterbinden könnte.
Ich bin mir sicher das ich nur blind bin. Das hängt doch mit mod_proxy zusammen, oder ? Der ist aber in der conf auskommentiert.
Kann mir einer auf die Sprünge helfen ?
EDIT:
OK, scheint doch kein Spam rauszugehen:
Hier stehts
leider nur englisch)
http://wiki.apache.org/httpd/ProxyAbuse
What about these strange CONNECT requests?
A variant of this problem is an access_log entry that looks like
63.251.56.142 - - [25/Jul/2002:12:48:04 -0700] "CONNECT smtp.example.com:25 HTTP/1.0" 200 1456
The CONNECT method is usually used to tunnel SSL requests through proxies. But in this case, the port 25 on the target shows us that someone is attempting to use our HTTP proxy to send mail (probably spam) to a foreign site.
Everything mentioned above applies equally to this case. But normally, as long as the proxy is disabled, Apache would respond to such requests with status code 405 (Method not allowed). The fact that a success status code is returned indicates that a third-party module is processing the CONNECT requests. The most likely culprit is php, which in its default configuration will accept all methods and treat them identically.
This isn't inherently a problem since php will handle the request locally and will not proxy to the foreign host. But it is still a good idea to configure php to accept only specific methods (using the php configuration setting http.allowed_methods) or have your php script reject requests for non-standard methods.
ich habe ein Problem mit der Konfiguration von Apache (xampp).
In meiner Log habe ich folgenden Eintrag entdeckt:
access.log:
118.170.250.147 - - [20/Mar/2010:18:57:49 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 200 9735
error.log:
[Sat Mar 20 18:57:49 2010] [info] [client 118.170.250.147] (OS 10053)Eine bestehende Verbindung wurde softwaregesteuert durch den Hostcomputer abgebrochen. : core_output_filter: writing data to the network
Offensichtlich wird mein Server als Spamschleuder missbraucht.
Jetzt blättere ich schon die ganze Zeit durch die config-Files vom Apache, finde jedoch keinen Eintrag mit dem ich das untterbinden könnte.
Ich bin mir sicher das ich nur blind bin. Das hängt doch mit mod_proxy zusammen, oder ? Der ist aber in der conf auskommentiert.
Kann mir einer auf die Sprünge helfen ?
EDIT:
OK, scheint doch kein Spam rauszugehen:
Hier stehts
leider nur englisch)http://wiki.apache.org/httpd/ProxyAbuse
What about these strange CONNECT requests?
A variant of this problem is an access_log entry that looks like
63.251.56.142 - - [25/Jul/2002:12:48:04 -0700] "CONNECT smtp.example.com:25 HTTP/1.0" 200 1456
The CONNECT method is usually used to tunnel SSL requests through proxies. But in this case, the port 25 on the target shows us that someone is attempting to use our HTTP proxy to send mail (probably spam) to a foreign site.
Everything mentioned above applies equally to this case. But normally, as long as the proxy is disabled, Apache would respond to such requests with status code 405 (Method not allowed). The fact that a success status code is returned indicates that a third-party module is processing the CONNECT requests. The most likely culprit is php, which in its default configuration will accept all methods and treat them identically.
This isn't inherently a problem since php will handle the request locally and will not proxy to the foreign host. But it is still a good idea to configure php to accept only specific methods (using the php configuration setting http.allowed_methods) or have your php script reject requests for non-standard methods.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138767
Url: https://administrator.de/contentid/138767
Printed on: April 19, 2024 at 23:04 o'clock
