serveur open proxy

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

serveur open proxy

Messagepar druglord » 20 Juil 2004 23:53

bonjour, j'ai reçu récemment un courrier d'un F.A.I., l'ancien f.a.i. de la société ou j'etias en stage, donc dans le cadre de mon projet qui consistait a mettre en place un serveur ftp et un site extranet qui tourne sous apache.

voici le courier reçu
> Cher(e) abonné(e),
>
> Suite a differentes plaintes qui nous ont ete adressees, nous avons
identifie la presence d''un serveur Open proxy sur votre machine.
>
> Un proxy est une passerelle logicielle qui isole un réseau local en
adressant en son nom les requêtes lancées par les postes du réseau global.
>
> Quand un proxy est en mode "Open", cela signifie que tout internaute
connecte peut utiliser votre machine comme passerelle afin de lancer des
attaques vers d''autres machines du reseau global.
>
> Ce logiciel opere sur votre machine a votre insu, il est tres difficile de
le detecter. En effet, aucun anti-virus ne peut l''identifier ni
l''eliminer.
>
> Nous vous demandons de prendre toutes les mesures necessaires afin
d''eliminer cet Open Proxy de votre machine.
> Pour toute aide, nous vous invitons a contacter le support de votre
systeme d''exploitation, afin qu''il vous conseille sur la meilleure maniere
de resoudre le probleme.
>
> Cordialement,
> _______________________________________________________________
> Service Abuse Club-Internet
> T-Online France
> 11 rue de Cambrai 75927 Paris Cedex 19
> http://www.club-internet.fr


donc j'ai épluché les logs sur apache et j en ai trouvé un intéressant

Code: Tout sélectionner
www.dom-adamsis 80.**.39.124 - [19/Jun/2004:10:09:36 +0200] "CONNECT 1.3.3.7:1337 HTTP/1.0" 200 746 "-" "-"


apparemment 200 signifie que la connexion a réussi, je voudrais savoir ce que je pourrai faire pour empecher l utilisation de mon serveur en tant que proxy.
J'utilise une distribution linux, SERVER SME, exclusivement en ligne de commande, je suis débutant linux.

je vous remercie d'avance de vos réponses et me tiens a votre disposition pour des informations complémentaires.
druglord
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 28 Mai 2004 17:02

Messagepar Muzo » 21 Juil 2004 08:41

Salut,

Alors tu nous donnes trop d'info sur ta SME !
- Version de SME?
- Version des Patchs?
- As tu fais des test à propos de RootKit?
- As tu ouvert le ssh sur l'extérieur?
- As tu des sites utilisant du PHP ou des logiciels PHP (Galery, ...) ?Si oui leur version est -elle à jour par rapport aux failles de sécurité?

As toi.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar druglord » 23 Juil 2004 09:57

bonjour merci de m'avoir répondu,
j'utilise SME Server 6.0.1-01.
Je n'ai pas fait de tests a propos de rootkit.
J'ai un site qui utilise du PHP.
j'utilise apache 1.3.27-2 et mysql 3.23.56-1.73

le ssh est désactivé

comment je connasi la version des patchs? :oops:
druglord
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 28 Mai 2004 17:02

Messagepar tomtom » 23 Juil 2004 10:11

degage tout ce qui concerne mod-proxy dans ton httpd.conf (faudra suremet jouer aux templates, d'autres pourront t'aider la desus )

Par contre, a moins aue tu n'aies bricole por faire du reverse proxy ou je ne sais quoi, ton serveur ne devrait pas fonctionner en mode proxy.
Donc comme precite, regarde si tu n'as pas eu d'intrusion, des rootkits, epluche tes logs.
La premiere chose a faire AMHA est de sortir ta machine du reseau, en prevenant les clients de l'indisponibilite du site.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar druglord » 23 Juil 2004 10:19

j'ai essayé de dégager tout ce qui concernait le chargement de proxy mais apres je ne peux afficher aucune page et je ne peux meme plus me connecter sur server-manager.
en fait j'ai mis en commentaire les chargements de modules proxy.
pour le moment j'ai réduit l'uilisation du serveur au réseau local. et sinon j avais des attaques mais qui ne concernaient que les serveurs IIS
druglord
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 28 Mai 2004 17:02


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron