|
|
 | hvad er det der forsøges her?
Fra : CykelSmeden fra Aalb~ |
Dato : 20-10-03 14:13 |
|
Min apachelog på en linux viser utallige linier som disse. til orientering
er 199.199.9.xxx de officielle adresser på ydersiden af min brandmur(fake),
så jeg antager der intet sker men hvad er angrebet for type?
67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
http://199.199.9.118:25/ HTTP/1.1" 502 522
67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST http://199.199.9.24:25/
HTTP/1.1" 502 520
64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
http://199.199.9.148:25/ HTTP/1.1" 502 526
finn
--
--- CykelSmeden.... edb på gadeplan
Hvis intet er anført, taler jeg om RH 7.1
og når jeg spørger, er det bare fordi jeg ved for lidt!
| |
 Mikkel Christensen (20-10-2003)
| Kommentar
Fra : Mikkel Christensen |
Dato : 20-10-03 14:26 |
|
"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:
> Min apachelog på en linux viser utallige linier som disse.
<snip>
> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
> http://199.199.9.118:25/ HTTP/1.1" 502 522
> 67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST
> http://199.199.9.24:25/ HTTP/1.1" 502 520
> 64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
> http://199.199.9.148:25/ HTTP/1.1" 502 526
Ligner nogen der leder efter en mailserver - ihvertfald efter porten at
dømme?
--
Mikkel | "...Being shot out of a cannon will always be better
motortosse.dk | than being squeezed out of a tube.
| That is why God made fast motorcycles ..."
| -Hunter S. Thompson
| |
CykelSmeden fra Aalb~ (20-10-2003)
| Kommentar
Fra : CykelSmeden fra Aalb~ |
Dato : 20-10-03 16:04 |
|
Mikkel Christensen wrote:
> "CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:
>
>> Min apachelog på en linux viser utallige linier som disse. <snip>
>> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
>> http://199.199.9.118:25/ HTTP/1.1" 502 522
>> 67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST
>> http://199.199.9.24:25/ HTTP/1.1" 502 520
>> 64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
>> http://199.199.9.148:25/ HTTP/1.1" 502 526
>
> Ligner nogen der leder efter en mailserver - ihvertfald efter porten
> at dømme?
ok det er jeg med på, men ser det ikke mere ud til at de prøver at sende
noget (post) via min webserver?
finn
| |
 Simon Lyngshede (20-10-2003)
| Kommentar
Fra : Simon Lyngshede |
Dato : 20-10-03 16:31 |
|
On Mon, 20 Oct 2003 17:03:35 +0200, CykelSmeden fra Aalborg wrote:
>> Ligner nogen der leder efter en mailserver - ihvertfald efter porten
>> at dømme?
>
> ok det er jeg med på, men ser det ikke mere ud til at de prøver at sende
> noget (post) via min webserver?
>
Det er også ca. rigtigt, de prøver at få fat i en evt. mailserver på
din computer via din webserver, det er en ret kendt teknik. Det er enten
en spammer der skal bruge en mailserver til at udbrede sit gylle fra,
eller en virus der prøver at finde en anonym server at sprede sig
igennem. Ideen er at man kan misbruge en mailserver der ellers er sikker.
Normalt tillader man jo ikke open relay via sin mailserver, men på denne
måde ser det ud som om at det er den bruger der kører webserveren som
prøver at sende en mail fra localhost, det er ofte det går godt. Hvis
din webserver er Apache og rimelig ny skulle der ikke ske noget, hvis jeg
husker rigtigt. Alternavtivt kan du muligvis bede Apache om at gøre noget
ved den type request, redirecte dem til Microsoft f.eks.
--
Simon
| |
Morten Kjaer Nielsen (20-10-2003)
| Kommentar
Fra : Morten Kjaer Nielsen |
Dato : 20-10-03 15:40 |
|
CykelSmeden fra Aalborg wrote:
> Min apachelog på en linux viser utallige linier som disse. til orientering
> er 199.199.9.xxx de officielle adresser på ydersiden af min brandmur(fake),
> så jeg antager der intet sker men hvad er angrebet for type?
>
> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
> http://199.199.9.118:25/ HTTP/1.1" 502 522
Nogen der leder efter en åben proxy server med en route til smtp, dem er
der mange af rundt omkring.
--
Morten!
| |
CykelSmeden fra Aalb~ (20-10-2003)
| Kommentar
Fra : CykelSmeden fra Aalb~ |
Dato : 20-10-03 16:06 |
|
Morten Kjaer Nielsen wrote:
> CykelSmeden fra Aalborg wrote:
>> Min apachelog på en linux viser utallige linier som disse. til
>> orientering er 199.199.9.xxx de officielle adresser på ydersiden af
>> min brandmur(fake), så jeg antager der intet sker men hvad er
>> angrebet for type?
>>
>> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
>> http://199.199.9.118:25/ HTTP/1.1" 502 522
>
> Nogen der leder efter en åben proxy server med en route til smtp, dem
> er der mange af rundt omkring.
Ok, har nogen en ide om hvordan man lukker for den slags?
Det er jo et "legalt" httpkald, men med illegalt indhold
finn
| |
Klaus Ellegaard (20-10-2003)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 20-10-03 17:01 |
|
"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:
>> Nogen der leder efter en åben proxy server med en route til smtp, dem
>> er der mange af rundt omkring.
>Ok, har nogen en ide om hvordan man lukker for den slags?
>Det er jo et "legalt" httpkald, men med illegalt indhold
Hvis du ikke kører en proxy-server som del af din konfiguration,
er der ikke noget, du behøver foretage dig. Det gør du efter
fejlkoden at dømme ikke, så alt er i skønneste orden.
Mvh.
Klaus.
| |
|
|