Re: Apache Proxy utilizzato per spamming

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2003 ml@sikurezza.org
Soggetto: Re: Apache Proxy utilizzato per spamming
Mittente: Gelpi Andrea
Data: 12 Aug 2003 10:15:05 -0000

Il mar, 2003-08-05 alle 13:10, Daniele Muscetta ha scritto:
> > I risultati sono diversi e in particolare:
> >
> > Su apche 2.0.40 ottengo un corretto:
> > <<< HTTP/1.1 405 Method Not Allowed\r\n
> >
> > Mentre su apache 1.3.27 ottengo:
> > <<< HTTP/1.1 200 OK\r\n
> >
> > A questo punto viene restituita la home page del sito web.
> >
> > Quindi non c'è un problema di vulnerabilità del sito, ma una risposta
> > che non capisco. Perchè mai deve rispondere OK e poi inviare una cosa
> > diversa?
> 
> vedi se questo ci puo' entrare qualcosa: (?)
> 
> http://bugs.php.net/bug.php?id=19113
> 
> in teoria se mod_proxy NON e' caricato dovrebbe darti "Method Not Allowed"
> perche' httpd "base" non capisce il metodo CONNECT (ma solo GET, POST,
> HEAD, etc...).
> 
> qui dice che su Apache 1.3.x con PHP4 installato pero'.... fa proprio cio'
> che ti succede!

Il problema non sembra essere il modulo caricato o no, ma che se non
capisce il comando ti ritorna la home page.
** Leggete. **

Infatti la mia situazione era esattamente quella descritta. Tuttavia:

Ho cambiato il nome della pagina da index.php a default.php.
Ho fatto lo stesso cambiamento in httpd.conf, cioè tolto da
DirectoryIndex index.php (ho però lasciato index.php3,...) e messo al
suo posto default.php.

Restarto il web server e riprovato. Non cambia nulla.

Quindi il PB non è nel nome del file della home page, ma basta che lui
riesca trovare la home page.

Indagando un po' e leggendo tutto il link sopra ho trovato e verificato
che il problema si verifica non solo con il comando CONNECT, ma con
qualsiasi stringa di testo:

telnet www.quello.che.volete 80
Dopo la risposta:

abc

e 2 volte invio ed ottenete la home page con in più le info del tipo di
web server e dei moduli caricati.

Molto brutto :-((

Sembra un problema di apache 1.3.x.

Alcuni hanno eliminato il problema togliendo moduli come mod.perl o
alcuni dei moduli di php, ma non ci sono risultati concordanti.

Pare che l'unica soluzione sia migrare ad apache 2.0.


-- 
Gelpi ing. Andrea
****************************
* Landmine must be stopped. 
****************************


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Apache Proxy utilizzato per spamming, Lombardo Federico
- Re: Apache Proxy utilizzato per spamming, Gelpi Andrea
- Re: Apache Proxy utilizzato per spamming, Daniele Muscetta

Data:
- precedente: Re: sono tenuto a tenere il log di apache?, mauro . rocca
- successivo: Re[2]: Il mistero del codice dei dati personali, Luca de Grazia
- indice

Argomento:
- precedente: Re: Apache Proxy utilizzato per spamming, Daniele Muscetta
- successivo: Re: Apache Proxy utilizzato per spamming, Lombardo Federico
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005