On Fri, Dec 16, 2005 at 01:17:12PM +0200, s. b. wrote:
Здравейте!
Днес открих следните записи в access_log-а на apache-то.
127.0.0.1 - - [16/Dec/2005:08:48:04 +0200] "GET /osa6.gif HTTP/1.0" 404 272
127.0.0.1 - - [16/Dec/2005:09:00:05 +0200] "GET /osa6.gif HTTP/1.0" 404 272
127.0.0.1 - - [16/Dec/2005:09:03:17 +0200] "GET /osa6.gif HTTP/1.0" 404 272
Виждат ми се странни заявките от локалната машина /която е с Линукс,
разбира се/... Още повече че този файл osa6.gif, се свързва с
W32/Bagle.CL. Т.е. излиза че машината ми го е 'пипнала' ли?... Пише че
е за Windows.
Къде греша? И каква може да е причината за тези заявки?..
Един от интересните подходи в такъв момент е да провериш дали на тази
машина няма нещо, което да работи като прокси, вероятно без твоето
знание. По принцип подобни подозрения традиционно си падат върху
примерно мейл сървъри или истински проксита - SOCKS, web, IRC, какво ли
не още, но от време на време се случва и нещо по-нестандартно; преди
година-две-три имаше един леко инфарктен момент (продължил няколко
часа), докато разберем, че на една машина сме успели да пуснем mod_proxy
на Apache по невнимание със силно разхлабена конфигурация - така и не
успяхме да разберем *как* спамерите бяха успели *толкова* бързо да го
надушат и да го използват за връзка към SMTP сървъра на същата машина -
който виждаше връзка от localhost и, разбира се, позволяваше какъвто
relay им душа иска.
Така че... виж дали на машината не работи нещо, което по принцип да си
работи като прокси, ама да си му олабил конфигурацията, може би без да
искаш.
Поздрави,
Петър