[linux] Re: open mail relay via mod_proxy

Za Nov 10 18:32:53 CET 2012

Heb jij ingebroken? Ik neem aan op een van je eigen pc's? More to the point, heb je suggesties voor ons (a) om er achter te komen of bij ons ook is ingebroken en (b) hoe dat precies te voorkomen? Mod_proxy uitzetten, ja, hoe precies en wat kan het voor gevolgen hebben?
Dank,

Paai

Nico Bouthoorn <nico op cuora.nl> wrote:

>Gevonden, ingebroken op een websites en oa de volgende files geupload:
>
>rw-r--r-- 1 apache apache                 1285 Oct 28 16:10
>wtm7899n.php
>-rw-r--r-- 1 apache apache                 1285 Oct 28 17:05
>wtm2288n.php
>-rw-r--r-- 1 apache apache                34348 Oct 29 01:23
>wtm1959n.php
>-rw-r--r-- 1 apache apache                34348 Oct 29 01:40
>wtm9362n.php
>-rw-r--r-- 1 apache apache                 1285 Nov  5 14:45
>wtm6654n.php
>-rw-r--r-- 1 apache apache                 6986 Nov  7 12:03
>ticketSdNf.php
>-rw-r--r-- 1 apache apache                73863 Nov  7 12:03
>GAreturn.php
>-rw-r--r-- 1 apache apache                 2264 Nov  7 18:47
>index.main.php
>drwxr-xr-x 2 apache apache                 4096 Nov  8 12:27 cacheds
>-rw-r--r-- 1 apache apache                 6986 Nov  9 08:25
>install5VWm.php
>-rw-r--r-- 1 apache apache                  744 Nov  9 12:39 r7AIV.html
>-rw-r--r-- 1 apache apache                  611 Nov  9 12:39 b7AIV.html
>-rw-r--r-- 1 apache apache                  383 Nov  9 12:39 a7AIV.html
>-rw-r--r-- 1 apache apache                  664 Nov  9 12:39 s7AIV.html
>-rw-r--r-- 1 apache apache               261957 Nov  9 15:49
>wp-conf.php
>-rw-r--r-- 1 apache apache                95933 Nov  9 15:50
>wtm3051n.php
>
>Dit met mod_proxy
>
>
>
>Gewaarschuwd mens telt voor 2....
>
>Nico
>
>
>
>nico wrote:
>> Beste allen,
>>
>> Gisteravond kwam ik er achter dat mijn apache webserver gebruikt werd
>> als een open mail relay voor spam. Het systeem is Centos 5.8 met de
>> laatste updates. Via tcpdump kon ik zien dat het verkeer via een hoge
>> port nummer binnen kwam (rond de 50000), de httpd daemons waren erg
>druk.
>> De oorzaak was de mod_proxy van apache, deze uitgezet en probleem was
>over.
>> Er stond geen configuratie van een proxy in mijn httpd.conf, alleen 2
>> reverse proxy configs in virtual hosts.  Dit soort configs worden in
>> mijn werk bij bedrijven regelmatig gebruikt voor java doeleinden enz.
>> Ik heb geen problemen kunnen vinden op het net met apache 2.x, met
>1.x
>> waren wel dit soort problemen.
>> Heeft iemand dit wel eens meegemaakt?
>>
>> Nico
>>

-- 
Sent from my Android phone with K-9 Mail. Please excuse my brevity.