[linux] Re: open mail relay via mod_proxy

Nico Bouthoorn nico op cuora.nl
Za Nov 10 23:21:00 CET 2012 

Hans,

Ik heb een VM draaien bij xlshosting waar oa websites op staan,  dit 
zijn Drupal websites.
Het was de website van mijn vrouw haar bedrijf 
(aben-personeelszaken.nl).  Ze had nogal een zwak wachtwoord....  De 
spammers hebben deze php scripts weten te uploaden naar haar website.  
Ik heb er niet veel  tijd en moeite ingestopt hoe ze precies de scripts 
gebruikte, maar wat ik kon zien met tcp dump dat ze met een hoog random 
port nummer contact maakte en ze dan mail verstuurde via de scripts.   
Het waren de standaard bekende spam berichten wat ik snel kon zien in de 
php code.

uitzetten in /etc/httpd/conf/httpd.conf:

#LoadModule proxy_module modules/mod_proxy.so
#LoadModule proxy_balancer_module modules/mod_proxy_balancer.so
#LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
#LoadModule proxy_http_module modules/mod_proxy_http.so
#LoadModule proxy_connect_module modules/mod_proxy_connect.so

De forward en reverse proxy werkt nu niet meer, zoals dit bijvoorbeeld:


#<VirtualHost *:80>
#ServerName webmin.ulterius.nl
#ServerAdmin webmaster
#ProxyRequests Off
#ProxyPass / http://localhost:10000/
#ProxyPassReverse / http://localhost:10000/
#<Proxy *>
#allow from all
#</Proxy>
#</Virtual

Dit reverse  proxies worden trouwens erg veel gebruikt met tomcat of 
ander jvm's

Nico



Hans Paijmans wrote:
> Heb jij ingebroken? Ik neem aan op een van je eigen pc's? More to the point, heb je suggesties voor ons (a) om er achter te komen of bij ons ook is ingebroken en (b) hoe dat precies te voorkomen? Mod_proxy uitzetten, ja, hoe precies en wat kan het voor gevolgen hebben?
> Dank,
>
> Paai
>
>
>
> Nico Bouthoorn <nico op cuora.nl> wrote:
>
>> Gevonden, ingebroken op een websites en oa de volgende files geupload:
>>
>> rw-r--r-- 1 apache apache                 1285 Oct 28 16:10
>> wtm7899n.php
>> -rw-r--r-- 1 apache apache                 1285 Oct 28 17:05
>> wtm2288n.php
>> -rw-r--r-- 1 apache apache                34348 Oct 29 01:23
>> wtm1959n.php
>> -rw-r--r-- 1 apache apache                34348 Oct 29 01:40
>> wtm9362n.php
>> -rw-r--r-- 1 apache apache                 1285 Nov  5 14:45
>> wtm6654n.php
>> -rw-r--r-- 1 apache apache                 6986 Nov  7 12:03
>> ticketSdNf.php
>> -rw-r--r-- 1 apache apache                73863 Nov  7 12:03
>> GAreturn.php
>> -rw-r--r-- 1 apache apache                 2264 Nov  7 18:47
>> index.main.php
>> drwxr-xr-x 2 apache apache                 4096 Nov  8 12:27 cacheds
>> -rw-r--r-- 1 apache apache                 6986 Nov  9 08:25
>> install5VWm.php
>> -rw-r--r-- 1 apache apache                  744 Nov  9 12:39 r7AIV.html
>> -rw-r--r-- 1 apache apache                  611 Nov  9 12:39 b7AIV.html
>> -rw-r--r-- 1 apache apache                  383 Nov  9 12:39 a7AIV.html
>> -rw-r--r-- 1 apache apache                  664 Nov  9 12:39 s7AIV.html
>> -rw-r--r-- 1 apache apache               261957 Nov  9 15:49
>> wp-conf.php
>> -rw-r--r-- 1 apache apache                95933 Nov  9 15:50
>> wtm3051n.php
>>
>> Dit met mod_proxy
>>
>>
>>
>> Gewaarschuwd mens telt voor 2....
>>
>> Nico
>>
>>
>>
>> nico wrote:
>>> Beste allen,
>>>
>>> Gisteravond kwam ik er achter dat mijn apache webserver gebruikt werd
>>> als een open mail relay voor spam. Het systeem is Centos 5.8 met de
>>> laatste updates. Via tcpdump kon ik zien dat het verkeer via een hoge
>>> port nummer binnen kwam (rond de 50000), de httpd daemons waren erg
>> druk.
>>> De oorzaak was de mod_proxy van apache, deze uitgezet en probleem was
>> over.
>>> Er stond geen configuratie van een proxy in mijn httpd.conf, alleen 2
>>> reverse proxy configs in virtual hosts.  Dit soort configs worden in
>>> mijn werk bij bedrijven regelmatig gebruikt voor java doeleinden enz.
>>> Ik heb geen problemen kunnen vinden op het net met apache 2.x, met
>> 1.x
>>> waren wel dit soort problemen.
>>> Heeft iemand dit wel eens meegemaakt?
>>>
>>> Nico
>>>

More information about the Linux mailing list