Re: lug-bg: virus on linux box!???

[Peter Pentchev <roam@xxxxxxxxxxx>]

On Fri, Dec 16, 2005 at 01:17:12PM +0200, s. b. wrote:
> Здравейте!
> 
> Днес открих следните записи в access_log-а на apache-то.
> 
> 127.0.0.1 - - [16/Dec/2005:08:48:04 +0200] "GET /osa6.gif HTTP/1.0" 404 272
> 127.0.0.1 - - [16/Dec/2005:09:00:05 +0200] "GET /osa6.gif HTTP/1.0" 404 272
> 127.0.0.1 - - [16/Dec/2005:09:03:17 +0200] "GET /osa6.gif HTTP/1.0" 404 272
> 
> 
> Виждат ми се странни заявките от локалната машина /която е с Линукс,
> разбира се/... Още повече че този файл osa6.gif, се свързва с
> W32/Bagle.CL. Т.е. излиза че машината ми го е 'пипнала' ли?... Пише че
> е за Windows.
> 
> Къде греша? И каква може да е причината за тези заявки?..

Един от интересните подходи в такъв момент е да провериш дали на тази
машина няма нещо, което да работи като прокси, вероятно без твоето
знание.  По принцип подобни подозрения традиционно си падат върху
примерно мейл сървъри или истински проксита - SOCKS, web, IRC, какво ли
не още, но от време на време се случва и нещо по-нестандартно; преди
година-две-три имаше един леко инфарктен момент (продължил няколко
часа), докато разберем, че на една машина сме успели да пуснем mod_proxy
на Apache по невнимание със силно разхлабена конфигурация - така и не
успяхме да разберем *как* спамерите бяха успели *толкова* бързо да го
надушат и да го използват за връзка към SMTP сървъра на същата машина -
който виждаше връзка от localhost и, разбира се, позволяваше какъвто
relay им душа иска.

Така че... виж дали на машината не работи нещо, което по принцип да си
работи като прокси, ама да си му олабил конфигурацията, може би без да
искаш.

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
Do you think anybody has ever had *precisely this thought* before?

Attachment: pgpr_0uP3ry1R.pgp
Description: PGP signature