serveur open proxy

[druglord]

bonjour, j'ai reçu récemment un courrier d'un F.A.I., l'ancien f.a.i. de la société ou j'etias en stage, donc dans le cadre de mon projet qui consistait a mettre en place un serveur ftp et un site extranet qui tourne sous apache.

voici le courier reçu

> Cher(e) abonné(e),
>
> Suite a differentes plaintes qui nous ont ete adressees, nous avons
identifie la presence d''un serveur Open proxy sur votre machine.
>
> Un proxy est une passerelle logicielle qui isole un réseau local en
adressant en son nom les requêtes lancées par les postes du réseau global.
>
> Quand un proxy est en mode "Open", cela signifie que tout internaute
connecte peut utiliser votre machine comme passerelle afin de lancer des
attaques vers d''autres machines du reseau global.
>
> Ce logiciel opere sur votre machine a votre insu, il est tres difficile de
le detecter. En effet, aucun anti-virus ne peut l''identifier ni
l''eliminer.
>
> Nous vous demandons de prendre toutes les mesures necessaires afin
d''eliminer cet Open Proxy de votre machine.
> Pour toute aide, nous vous invitons a contacter le support de votre
systeme d''exploitation, afin qu''il vous conseille sur la meilleure maniere
de resoudre le probleme.
>
> Cordialement,
> _______________________________________________________________
> Service Abuse Club-Internet
> T-Online France
> 11 rue de Cambrai 75927 Paris Cedex 19
> http://www.club-internet.fr

donc j'ai épluché les logs sur apache et j en ai trouvé un intéressant

Code: Tout sélectionner

www.dom-adamsis 80.**.39.124 - [19/Jun/2004:10:09:36 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 200 746 "-" "-"

apparemment 200 signifie que la connexion a réussi, je voudrais savoir ce que je pourrai faire pour empecher l utilisation de mon serveur en tant que proxy.
J'utilise une distribution linux, SERVER SME, exclusivement en ligne de commande, je suis débutant linux.

je vous remercie d'avance de vos réponses et me tiens a votre disposition pour des informations complémentaires.

[Muzo]

Salut,

Alors tu nous donnes trop d'info sur ta SME !
- Version de SME?
- Version des Patchs?
- As tu fais des test à propos de RootKit?
- As tu ouvert le ssh sur l'extérieur?
- As tu des sites utilisant du PHP ou des logiciels PHP (Galery, ...) ?Si oui leur version est -elle à jour par rapport aux failles de sécurité?

As toi.

[druglord]

bonjour merci de m'avoir répondu,
j'utilise SME Server 6.0.1-01.
Je n'ai pas fait de tests a propos de rootkit.
J'ai un site qui utilise du PHP.
j'utilise apache 1.3.27-2 et mysql 3.23.56-1.73

le ssh est désactivé

comment je connasi la version des patchs?

[tomtom]

degage tout ce qui concerne mod-proxy dans ton httpd.conf (faudra suremet jouer aux templates, d'autres pourront t'aider la desus )

Par contre, a moins aue tu n'aies bricole por faire du reverse proxy ou je ne sais quoi, ton serveur ne devrait pas fonctionner en mode proxy.
Donc comme precite, regarde si tu n'as pas eu d'intrusion, des rootkits, epluche tes logs.
La premiere chose a faire AMHA est de sortir ta machine du reseau, en prevenant les clients de l'indisponibilite du site.


t.

[druglord]

j'ai essayé de dégager tout ce qui concernait le chargement de proxy mais apres je ne peux afficher aucune page et je ne peux meme plus me connecter sur server-manager.
en fait j'ai mis en commentaire les chargements de modules proxy.
pour le moment j'ai réduit l'uilisation du serveur au réseau local. et sinon j avais des attaques mais qui ne concernaient que les serveurs IIS