On Wed, Oct 05, 2005 at 08:37:05AM -0300, André Luiz Felix Nunes wrote: > Caros colegas da lista, > > primeiramente gostaria de agradecer à dica enviada por Alejandro sobre a > instalação do apxs, não conhecia o yum, agora ficou bem mais fácil, não tem > que ficar procurando dependências de pacotes. > Estou com um problema, e tenho quase certeza se tratar de um ataque. > > Tenho um servidor web que é meu DNS primário também. > Troquei a versão do Linux, era um CL9 e agora é um FC2. Instalei o > mod_security e configurei, na esperança de parar o ataque, mas não adiantou. > No arquivo access_log do http fica aparecendo as seguintes mensagens: > > 65.110.36.200 - - [05/Oct/2005:08:28:39 -0300] "CONNECT 67.28.113.19:25 > HTTP/1.0" 403 296 "-" "-" > 213.85.93.32 - - [05/Oct/2005:08:28:33 -0300] "CONNECT login.icq.com:443 > HTTP/1.0" 200 - "-" "-" > 62.206.8.75 - - [05/Oct/2005:08:33:01 -0300] "CONNECT 64.12.161.153:443 > HTTP/1.0" 200 - "-" "-"
Parece que seu servidor web está sendo usado como proxy. Veja que as duas últimas requisições CONNECT retornaram 200 (ok) em vez de 403 (proibido). Você usa o módulo de proxy do apache? --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
