[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2003 ml@sikurezza.org Soggetto: Re: Apache Proxy utilizzato per spamming Mittente: Lombardo Federico Data: 11 Aug 2003 12:27:33 -0000
Caro andrea non ho sottomano un 1.3.27 da provare, ma a rigor di logica ti conviene fare una prova del 9. telnetti sulla tua porta 80, scrivi POST http://ipmailserver:25/ premi invio. dopodichè vedi con lsof -i -n se il processo httpd ha iniziato o no una connessione :-) La documentazione di apache a riguardo mi sembra molto lacunosa e lascia l'utente con un semplice "controllate la cosa a livello di access list" e non mette in guardia dagli effetti a mio avviso devastanti di una misconfiguration del modulo. A rigor di logica dovresti disabilitare le direttive proxyvia e proxyrequest, queste ultime però a volte servono. Un'idea pazza sarebbe quella di non permettere all'utente con cui viene startato apache di creare connessioni all'esterno, ma di lavorare solo su quelle stabilite, mi pare che iptables patchato abbia questa feature, forse ce la dovrebbe avere anche checkpoint R54. P.S. il tuo errore 405 mi sembra proprio che sia il POST come metodo non valido. Federico ----- Original Message ----- From: "Gelpi Andrea" <liste@xxxxxxxx> To: <ml@xxxxxxxxxxxxx> Sent: Tuesday, August 05, 2003 9:58 AM Subject: Re: Apache Proxy utilizzato per spamming > On Mon, 2003-08-04 at 10:58, Lombardo Federico wrote: > > Ahimè chi utilizza il mod_proxy di apache non correttamente configurato > > rischia di diventare un bounce per gli spammers. > > > > a riguardo ho trovato uno script che serve per testare la propria > > configurazione: > > > > http://www.unicom.com/sw/pxytest/ > > > > Salve, > ho provato lo script in questione su due PC uno con RH9 e apache > 2.0.40, l'altro con RH 7.1 e apache 1.3.27. > > I risultati sono diversi e in particolare: > > Su apche 2.0.40 ottengo un corretto: > > Testing addr "prova1.gelpi.it" port "80" proto "http-connect" ... > connected > >>> CONNECT 192.168.255.102:25 HTTP/1.0\r\n\r\n > <<< HTTP/1.1 405 Method Not Allowed\r\n > > Mentre su apache 1.3.27 ottengo: > > Testing addr "prova2.gelpi.it" port "80" proto "http-connect" ... > connected > >>> CONNECT 192.168.255.102:25 HTTP/1.0\r\n\r\n > <<< HTTP/1.1 200 OK\r\n > > A questo punto viene restituita la home page del sito web. > > Quindi non c'è un problema di vulnerabilità del sito, ma una risposta > che non capisco. Perchè mai deve rispondere OK e poi inviare una cosa > diversa? > Ho un errore nella configurazione di apache? > -- > Gelpi ing. Andrea > **************************** > * Landmine must be stopped. > **************************** > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005