[linux] Re: open mail relay via mod_proxy
Nico Bouthoorn
nico op cuora.nl
Vr Nov 9 16:41:24 CET 2012
Gevonden, ingebroken op een websites en oa de volgende files geupload:
rw-r--r-- 1 apache apache 1285 Oct 28 16:10 wtm7899n.php
-rw-r--r-- 1 apache apache 1285 Oct 28 17:05 wtm2288n.php
-rw-r--r-- 1 apache apache 34348 Oct 29 01:23 wtm1959n.php
-rw-r--r-- 1 apache apache 34348 Oct 29 01:40 wtm9362n.php
-rw-r--r-- 1 apache apache 1285 Nov 5 14:45 wtm6654n.php
-rw-r--r-- 1 apache apache 6986 Nov 7 12:03 ticketSdNf.php
-rw-r--r-- 1 apache apache 73863 Nov 7 12:03 GAreturn.php
-rw-r--r-- 1 apache apache 2264 Nov 7 18:47 index.main.php
drwxr-xr-x 2 apache apache 4096 Nov 8 12:27 cacheds
-rw-r--r-- 1 apache apache 6986 Nov 9 08:25 install5VWm.php
-rw-r--r-- 1 apache apache 744 Nov 9 12:39 r7AIV.html
-rw-r--r-- 1 apache apache 611 Nov 9 12:39 b7AIV.html
-rw-r--r-- 1 apache apache 383 Nov 9 12:39 a7AIV.html
-rw-r--r-- 1 apache apache 664 Nov 9 12:39 s7AIV.html
-rw-r--r-- 1 apache apache 261957 Nov 9 15:49 wp-conf.php
-rw-r--r-- 1 apache apache 95933 Nov 9 15:50 wtm3051n.php
Dit met mod_proxy
Gewaarschuwd mens telt voor 2....
Nico
nico wrote:
> Beste allen,
>
> Gisteravond kwam ik er achter dat mijn apache webserver gebruikt werd
> als een open mail relay voor spam. Het systeem is Centos 5.8 met de
> laatste updates. Via tcpdump kon ik zien dat het verkeer via een hoge
> port nummer binnen kwam (rond de 50000), de httpd daemons waren erg druk.
> De oorzaak was de mod_proxy van apache, deze uitgezet en probleem was over.
> Er stond geen configuratie van een proxy in mijn httpd.conf, alleen 2
> reverse proxy configs in virtual hosts. Dit soort configs worden in
> mijn werk bij bedrijven regelmatig gebruikt voor java doeleinden enz.
> Ik heb geen problemen kunnen vinden op het net met apache 2.x, met 1.x
> waren wel dit soort problemen.
> Heeft iemand dit wel eens meegemaakt?
>
> Nico
>
More information about the Linux
mailing list