[linux] Re: open mail relay via mod_proxy
Nico Bouthoorn
nico op cuora.nl
Za Nov 10 23:21:00 CET 2012
Hans,
Ik heb een VM draaien bij xlshosting waar oa websites op staan, dit
zijn Drupal websites.
Het was de website van mijn vrouw haar bedrijf
(aben-personeelszaken.nl). Ze had nogal een zwak wachtwoord.... De
spammers hebben deze php scripts weten te uploaden naar haar website.
Ik heb er niet veel tijd en moeite ingestopt hoe ze precies de scripts
gebruikte, maar wat ik kon zien met tcp dump dat ze met een hoog random
port nummer contact maakte en ze dan mail verstuurde via de scripts.
Het waren de standaard bekende spam berichten wat ik snel kon zien in de
php code.
uitzetten in /etc/httpd/conf/httpd.conf:
#LoadModule proxy_module modules/mod_proxy.so
#LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
#LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
#LoadModule proxy_http_module modules/mod_proxy_http.so
#LoadModule proxy_connect_module modules/mod_proxy_connect.so
De forward en reverse proxy werkt nu niet meer, zoals dit bijvoorbeeld:
#<VirtualHost *:80>
#ServerName webmin.ulterius.nl
#ServerAdmin webmaster
#ProxyRequests Off
#ProxyPass / http://localhost:10000/
#ProxyPassReverse / http://localhost:10000/
#<Proxy *>
#allow from all
#</Proxy>
#</Virtual
Dit reverse proxies worden trouwens erg veel gebruikt met tomcat of
ander jvm's
Nico
Hans Paijmans wrote:
> Heb jij ingebroken? Ik neem aan op een van je eigen pc's? More to the point, heb je suggesties voor ons (a) om er achter te komen of bij ons ook is ingebroken en (b) hoe dat precies te voorkomen? Mod_proxy uitzetten, ja, hoe precies en wat kan het voor gevolgen hebben?
> Dank,
>
> Paai
>
>
>
> Nico Bouthoorn <nico op cuora.nl> wrote:
>
>> Gevonden, ingebroken op een websites en oa de volgende files geupload:
>>
>> rw-r--r-- 1 apache apache 1285 Oct 28 16:10
>> wtm7899n.php
>> -rw-r--r-- 1 apache apache 1285 Oct 28 17:05
>> wtm2288n.php
>> -rw-r--r-- 1 apache apache 34348 Oct 29 01:23
>> wtm1959n.php
>> -rw-r--r-- 1 apache apache 34348 Oct 29 01:40
>> wtm9362n.php
>> -rw-r--r-- 1 apache apache 1285 Nov 5 14:45
>> wtm6654n.php
>> -rw-r--r-- 1 apache apache 6986 Nov 7 12:03
>> ticketSdNf.php
>> -rw-r--r-- 1 apache apache 73863 Nov 7 12:03
>> GAreturn.php
>> -rw-r--r-- 1 apache apache 2264 Nov 7 18:47
>> index.main.php
>> drwxr-xr-x 2 apache apache 4096 Nov 8 12:27 cacheds
>> -rw-r--r-- 1 apache apache 6986 Nov 9 08:25
>> install5VWm.php
>> -rw-r--r-- 1 apache apache 744 Nov 9 12:39 r7AIV.html
>> -rw-r--r-- 1 apache apache 611 Nov 9 12:39 b7AIV.html
>> -rw-r--r-- 1 apache apache 383 Nov 9 12:39 a7AIV.html
>> -rw-r--r-- 1 apache apache 664 Nov 9 12:39 s7AIV.html
>> -rw-r--r-- 1 apache apache 261957 Nov 9 15:49
>> wp-conf.php
>> -rw-r--r-- 1 apache apache 95933 Nov 9 15:50
>> wtm3051n.php
>>
>> Dit met mod_proxy
>>
>>
>>
>> Gewaarschuwd mens telt voor 2....
>>
>> Nico
>>
>>
>>
>> nico wrote:
>>> Beste allen,
>>>
>>> Gisteravond kwam ik er achter dat mijn apache webserver gebruikt werd
>>> als een open mail relay voor spam. Het systeem is Centos 5.8 met de
>>> laatste updates. Via tcpdump kon ik zien dat het verkeer via een hoge
>>> port nummer binnen kwam (rond de 50000), de httpd daemons waren erg
>> druk.
>>> De oorzaak was de mod_proxy van apache, deze uitgezet en probleem was
>> over.
>>> Er stond geen configuratie van een proxy in mijn httpd.conf, alleen 2
>>> reverse proxy configs in virtual hosts. Dit soort configs worden in
>>> mijn werk bij bedrijven regelmatig gebruikt voor java doeleinden enz.
>>> Ik heb geen problemen kunnen vinden op het net met apache 2.x, met
>> 1.x
>>> waren wel dit soort problemen.
>>> Heeft iemand dit wel eens meegemaakt?
>>>
>>> Nico
>>>
More information about the Linux
mailing list