Re: Apache2 er gået amok
Friday 25 August 2006 08:55 skrev Admir Trakic:
> Har du sæt nogle security options?
>
> <Proxy *>
> Order Deny,Allow
> Deny from all
> Allow from 192.168.0
> </Proxy>
>
> eller hvad med ProxyBlock
Denne hjælper ikke:
<Proxy *>
Order Deny,Allow
Deny from all
</Proxy>
og denne hjælper heller ikke:
ProxyBlock *
Ej heller hjælper dette:
a2dismod proxy
Til Jacob Sparre. Jeg tror ikke php er problemet. (Se også nederst i mailen.):
#AddType application/x-httpd-php .php
#AddType application/x-httpd-php-source .phps
a2dismod php4
This module is already disabled, or does not exist!
I det sekund jeg starter apacheserveren sprøjter der traffik igennem: Mindst
10-20 forbindelser pr. sek. Jeg føler mig rimelig overbevist om at det drejer
sig om:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316173
Det fremgår at denne bug ikke rammer apache-1.3 (passer med mine
iagttagelser). MEN min vhcs kan ikke uden videre køre apache1.3! Af
bugreporten fremgår det at problemet skulle være løst, men jeg er ikke ganske
overbevist.
Mads skriver:
> Nu vil jeg nødig gøre mig klog på hvordan den bruges som proxy, men hvis
> du kan finde ud af om der REQUESTSne ligner hinanden på en eller anden
> måde, vil du muligvis kunne blokere dem med mod_security.
Så vidt jeg fatter, beder den remote servers URI om at min server leverer
indholdet af en bestemt url, og i fald den svarer med 404 (hvad den gør), så
beder den serveren om at hente en bestemt side for den, og det gør serveren
så (selvom den ikke må):
The Apache HTTP Web Server violated one RFC2616 policy, wherein Content-Length
headers are invalid in combination with Transfer-Encoding: chunked headers.
While Apache HTTP Server consistently interprets the chunked encoding, and
ignored the invalid Content- Length header, the header could persist through
the proxy to the backend server.
https://www.covalent.net/account/alerts/20050714.html
http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.4
Mon ikke jeg må kompilere en apache2.0.55 med en af de bugfix som nævnes i
bugs.debian linket ovenfor. Alternativt kunne jeg compilere en hel ny
apache2.2.3, men så kobles jeg jo af debians sikkerhedssystem ... selvom det
ikke er ganske overbevisende i tilfældet apache.
Hvad mener I?
Flemming
PS: Lige for at I kan se en mindre del af hvad der væltede ind kl. 10:35:56:
66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404
1234 "http://coralcoastdivers.com/proxy.php" "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404
1234 "http://coralcoastdivers.com/proxy.php" "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
142.167.57.230 - - [25/Aug/2006:10:35:56 +0200] "GET
http://a436.b.akamai.net/sbc.login.yahoo.com/config/login?login=dallasapache&passwd=shadow
HTTP/1.0" 404 1231 "http://edit1.client.vip.sc5.yahoo.com" "-"
66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404
1234 "http://coralcoastdivers.com/proxy.php" "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
==========================
min sites-avialable/default:
NameVirtualHost 213.173.250.117
<VirtualHost 213.173.250.117:80>
ServerAdmin webmaster@localhost
ServerName formeget.dk
ServerAlias www.formeget.dk
DocumentRoot /var/www/
# <Directory />
# Options FollowSymLinks
# AllowOverride None
# </Directory>
<Directory /var/www>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
# ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
# <Directory "/usr/lib/cgi-bin">
# AllowOverride None
# Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
# Order allow,deny
# Allow from all
# </Directory>
ErrorLog /var/log/apache2/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
ServerSignature On
Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>
</VirtualHost>
Reply to: