[linux] Re: open mail relay via mod_proxy

Daniel von Asmuth asmuth op bakunin.xs4all.nl
Za Nov 10 23:07:28 CET 2012


Aldus schreef Hans Paijmans op Sat, Nov 10, 2012 at 06:32:53PM +0100:
> Heb jij ingebroken? Ik neem aan op een van je eigen pc's? More to the point, heb je suggesties voor ons (a) om er achter te komen of bij ons ook is ingebroken en (b) hoe dat precies te voorkomen? Mod_proxy uitzetten, ja, hoe precies en wat kan het voor gevolgen hebben?
> 
> Nico Bouthoorn <nico op cuora.nl> wrote:
> 
> >Gevonden, ingebroken op een websites en oa de volgende files geupload:

De Paai begrijpt het niet helemaal en ik nog minder. Heeft iemand op
jouw systeem ingebroken? Wat zijn dat precies voor PHP files?

> >nico wrote:
> >> Beste allen,
> >>
> >> Gisteravond kwam ik er achter dat mijn apache webserver gebruikt werd
> >> als een open mail relay voor spam. Het systeem is Centos 5.8 met de
> >> laatste updates. Via tcpdump kon ik zien dat het verkeer via een hoge
> >> port nummer binnen kwam (rond de 50000), de httpd daemons waren erg
> >druk.
> >> De oorzaak was de mod_proxy van apache, deze uitgezet en probleem was
> >over.
> >> Er stond geen configuratie van een proxy in mijn httpd.conf, alleen 2
> >> reverse proxy configs in virtual hosts.  Dit soort configs worden in
> >> mijn werk bij bedrijven regelmatig gebruikt voor java doeleinden enz.
> >> Ik heb geen problemen kunnen vinden op het net met apache 2.x, met
> >1.x
> >> waren wel dit soort problemen.
> >> Heeft iemand dit wel eens meegemaakt?

Het lijkt inderdaad een bekend probleem. De voor de hand liggende
'oplossing' is om de apache module mod_proxy alleen te laden als proxy 
functionaliteit nodig is en hem dan zo te configureren dat alleen 
bevriende systemen de proxy functionaliteit kunnen gebruiken. 

Met carnavaleske groet,



Daniel von Asmuth,
Beumerwald

-- 
	
		People who bought this story also bought....



More information about the Linux mailing list