/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
hvad er det der forsøges her?
Fra : CykelSmeden fra Aalb~


Dato : 20-10-03 14:13

Min apachelog på en linux viser utallige linier som disse. til orientering
er 199.199.9.xxx de officielle adresser på ydersiden af min brandmur(fake),
så jeg antager der intet sker men hvad er angrebet for type?

67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
http://199.199.9.118:25/ HTTP/1.1" 502 522
67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST http://199.199.9.24:25/
HTTP/1.1" 502 520
64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
http://199.199.9.148:25/ HTTP/1.1" 502 526

finn

--
--- CykelSmeden.... edb på gadeplan

Hvis intet er anført, taler jeg om RH 7.1
og når jeg spørger, er det bare fordi jeg ved for lidt!



 
 
Mikkel Christensen (20-10-2003)
Kommentar
Fra : Mikkel Christensen


Dato : 20-10-03 14:26

"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:

> Min apachelog på en linux viser utallige linier som disse.
<snip>
> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
> http://199.199.9.118:25/ HTTP/1.1" 502 522
> 67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST
> http://199.199.9.24:25/ HTTP/1.1" 502 520
> 64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
> http://199.199.9.148:25/ HTTP/1.1" 502 526

Ligner nogen der leder efter en mailserver - ihvertfald efter porten at
dømme?

--
Mikkel | "...Being shot out of a cannon will always be better
motortosse.dk | than being squeezed out of a tube.
| That is why God made fast motorcycles ..."
| -Hunter S. Thompson

CykelSmeden fra Aalb~ (20-10-2003)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 20-10-03 16:04

Mikkel Christensen wrote:
> "CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:
>
>> Min apachelog på en linux viser utallige linier som disse. <snip>
>> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
>> http://199.199.9.118:25/ HTTP/1.1" 502 522
>> 67.202.109.71 - - [16/Oct/2003:08:58:43 +0200] "POST
>> http://199.199.9.24:25/ HTTP/1.1" 502 520
>> 64.216.218.84 - - [16/Oct/2003:08:59:08 +0200] "POST
>> http://199.199.9.148:25/ HTTP/1.1" 502 526
>
> Ligner nogen der leder efter en mailserver - ihvertfald efter porten
> at dømme?

ok det er jeg med på, men ser det ikke mere ud til at de prøver at sende
noget (post) via min webserver?

finn



Simon Lyngshede (20-10-2003)
Kommentar
Fra : Simon Lyngshede


Dato : 20-10-03 16:31

On Mon, 20 Oct 2003 17:03:35 +0200, CykelSmeden fra Aalborg wrote:

>> Ligner nogen der leder efter en mailserver - ihvertfald efter porten
>> at dømme?
>
> ok det er jeg med på, men ser det ikke mere ud til at de prøver at sende
> noget (post) via min webserver?
>
Det er også ca. rigtigt, de prøver at få fat i en evt. mailserver på
din computer via din webserver, det er en ret kendt teknik. Det er enten
en spammer der skal bruge en mailserver til at udbrede sit gylle fra,
eller en virus der prøver at finde en anonym server at sprede sig
igennem. Ideen er at man kan misbruge en mailserver der ellers er sikker.
Normalt tillader man jo ikke open relay via sin mailserver, men på denne
måde ser det ud som om at det er den bruger der kører webserveren som
prøver at sende en mail fra localhost, det er ofte det går godt. Hvis
din webserver er Apache og rimelig ny skulle der ikke ske noget, hvis jeg
husker rigtigt. Alternavtivt kan du muligvis bede Apache om at gøre noget
ved den type request, redirecte dem til Microsoft f.eks.


--
Simon

Morten Kjaer Nielsen (20-10-2003)
Kommentar
Fra : Morten Kjaer Nielsen


Dato : 20-10-03 15:40

CykelSmeden fra Aalborg wrote:
> Min apachelog på en linux viser utallige linier som disse. til orientering
> er 199.199.9.xxx de officielle adresser på ydersiden af min brandmur(fake),
> så jeg antager der intet sker men hvad er angrebet for type?
>
> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
> http://199.199.9.118:25/ HTTP/1.1" 502 522

Nogen der leder efter en åben proxy server med en route til smtp, dem er
der mange af rundt omkring.


--
Morten!

CykelSmeden fra Aalb~ (20-10-2003)
Kommentar
Fra : CykelSmeden fra Aalb~


Dato : 20-10-03 16:06

Morten Kjaer Nielsen wrote:
> CykelSmeden fra Aalborg wrote:
>> Min apachelog på en linux viser utallige linier som disse. til
>> orientering er 199.199.9.xxx de officielle adresser på ydersiden af
>> min brandmur(fake), så jeg antager der intet sker men hvad er
>> angrebet for type?
>>
>> 67.202.109.68 - - [16/Oct/2003:08:57:41 +0200] "POST
>> http://199.199.9.118:25/ HTTP/1.1" 502 522
>
> Nogen der leder efter en åben proxy server med en route til smtp, dem
> er der mange af rundt omkring.

Ok, har nogen en ide om hvordan man lukker for den slags?
Det er jo et "legalt" httpkald, men med illegalt indhold

finn



Klaus Ellegaard (20-10-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 20-10-03 17:01

"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:

>> Nogen der leder efter en åben proxy server med en route til smtp, dem
>> er der mange af rundt omkring.

>Ok, har nogen en ide om hvordan man lukker for den slags?
>Det er jo et "legalt" httpkald, men med illegalt indhold

Hvis du ikke kører en proxy-server som del af din konfiguration,
er der ikke noget, du behøver foretage dig. Det gør du efter
fejlkoden at dømme ikke, så alt er i skønneste orden.

Mvh.
   Klaus.

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408952
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste