log apache: connexion a gmail-smtp-in.l.google.com ??
3 réponses
Hugolino
[X-post:fciws,fcs - fu2:fcs]
Salut,
Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.
Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.
J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de
savoir interpréter sa sortie.
Que puis-je faire pour être sûr que ma machine n'est pas devenue un
relay de spam? Quels outils utiliser ?
Quelle serait la règle d'iptable ou le paramètre de configuration
d'apache qui enverrait bouler ces tentatives ?
J'ai googlé un peu et j'ai lu quelques trucs sur fail2ban qui semble
interessant. Mais n'est-ce pas un peu lourd à paramétrer correctement ?
(J'ai déjà essayé de comprendre la doc d'iptables et j'ai calé avant la
fin)
Merci de vos avis
--
You try to tell customers of the other airlines about the great trip, but all
they can say is, "You had to do what with the seat?" -+- LG #45 -+-
Hugo (né il y a 1 402 862 533 secondes)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bastien Durel
On 07/10/2008 22:42, Hugolino wrote:
Salut,
Bonjour,
Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave à usage personnel.
Dans les logs, j'ai quelque chose que je ne sais pas interpréter: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay de spam.
Ça y ressemble, oui
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté la connexion et aurait renvoyé quelque chose (mais sans que je sache à quoi peuvent bien correspondre ces 16510 octets).
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est normal.
Cette requête ne demande pas à ta machine d'envoyer un mail, mais d'ouvrir une connexion TCP vers le port 25 gmail-smtp-in.l.google.com et de la retransmettre vers le client. Postfix n'a aucune raison de voir quoi que ce soit.
J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de savoir interpréter sa sortie.
Si on processus apache a une connection ouverte (Adresse distante) vers un mx, sur le port 25, alors c'est louche ;)
Que puis-je faire pour être sûr que ma machine n'est pas devenue un relay de spam? Quels outils utiliser ?
Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.
Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.
Ça y ressemble, oui
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.
Cette requête ne demande pas à ta machine d'envoyer un mail, mais
d'ouvrir une connexion TCP vers le port 25 gmail-smtp-in.l.google.com et
de la retransmettre vers le client.
Postfix n'a aucune raison de voir quoi que ce soit.
J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de
savoir interpréter sa sortie.
Si on processus apache a une connection ouverte (Adresse distante) vers
un mx, sur le port 25, alors c'est louche ;)
Que puis-je faire pour être sûr que ma machine n'est pas devenue un
relay de spam? Quels outils utiliser ?
Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave à usage personnel.
Dans les logs, j'ai quelque chose que je ne sais pas interpréter: 8<-----------8<---------8<----------8<----------8<----------8<----------8< 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8<
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay de spam.
Ça y ressemble, oui
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté la connexion et aurait renvoyé quelque chose (mais sans que je sache à quoi peuvent bien correspondre ces 16510 octets).
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est normal.
Cette requête ne demande pas à ta machine d'envoyer un mail, mais d'ouvrir une connexion TCP vers le port 25 gmail-smtp-in.l.google.com et de la retransmettre vers le client. Postfix n'a aucune raison de voir quoi que ce soit.
J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de savoir interpréter sa sortie.
Si on processus apache a une connection ouverte (Adresse distante) vers un mx, sur le port 25, alors c'est louche ;)
Que puis-je faire pour être sûr que ma machine n'est pas devenue un relay de spam? Quels outils utiliser ?
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer immediatement mod_proxy en commentant la ligne LoadModule proxy_module modules/mod_proxy.so dans ton httpd.conf
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté la connexion et aurait renvoyé quelque chose (mais sans que je sache à quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est normal.
C'est pas postfix qui est impliqué la, c'est apache.
-- Thomas
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote:
[X-post:fciws,fcs - fu2:fcs]
Salut,
Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.
Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer
immediatement mod_proxy en commentant la ligne
LoadModule proxy_module modules/mod_proxy.so
dans ton httpd.conf
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.
C'est pas postfix qui est impliqué la, c'est apache.
Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer immediatement mod_proxy en commentant la ligne LoadModule proxy_module modules/mod_proxy.so dans ton httpd.conf
Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté la connexion et aurait renvoyé quelque chose (mais sans que je sache à quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est normal.
C'est pas postfix qui est impliqué la, c'est apache.
-- Thomas
Hugolino
Le 08 Oct 2008 09:37:17 GMT, Thomas Pedoussaut a écrit:
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote: > Je fais tourner un apache sur mon PC perso, pour mon petit site > pourrave à usage personnel. > Dans les logs, j'ai quelque chose que je ne sais pas interpréter: 8<-----------8<---------8<----------8<----------8<----------8<----------8< > 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT > gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 > "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8< > Ça ressemble un peu à un robot qui chercherait à m'utiliser comme > relay de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer immediatement mod_proxy en commentant la ligne LoadModule proxy_module modules/mod_proxy.so dans ton httpd.conf
Mon apache (version2), n'a pas de lien de /etc/apache2/mods-available/proxy* vers /etc/apache2/mods-enabled/
> Ce qui me gène, c'est le code 200, signifiant que ma machine a > accepté la connexion et aurait renvoyé quelque chose (mais sans que > je sache à quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ah ? Je pensais que non, puisque proxy.load et ses copains ne sont pas dans /etc/apache2/mods-enabled/
> Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui > tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: > tout est normal.
C'est pas postfix qui est impliqué la, c'est apache.
Oui, bien sûr, mais comment un de mes "clients" pourrait-il utiliser apache pour faire des bétises sur le ternet mondial ? Aurais-tu un exemple ?
Merci de ton aide (ainsi qu'à Bastien Durel)
--
T'as pas les chevilles qui enflent des fois? Associer perl et "bon programmeur" c'est original.
Merde, ça s'est vu :) Pfff, vous devenez de plus en plus difficiles à coincer les gars :)
Le 08 Oct 2008 09:37:17 GMT, Thomas Pedoussaut a écrit:
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote:
> Je fais tourner un apache sur mon PC perso, pour mon petit site
> pourrave à usage personnel.
> Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
> 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
> gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510
> "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
> Ça ressemble un peu à un robot qui chercherait à m'utiliser comme
> relay de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique,
retirer immediatement mod_proxy en commentant la ligne LoadModule
proxy_module modules/mod_proxy.so dans ton httpd.conf
Mon apache (version2), n'a pas de lien de /etc/apache2/mods-available/proxy*
vers /etc/apache2/mods-enabled/
> Ce qui me gène, c'est le code 200, signifiant que ma machine a
> accepté la connexion et aurait renvoyé quelque chose (mais sans que
> je sache à quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ah ? Je pensais que non, puisque proxy.load et ses copains ne sont pas
dans /etc/apache2/mods-enabled/
La conf de mon serveur est accessible à <http://tinyurl.com/54bqad>
> Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui
> tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix:
> tout est normal.
C'est pas postfix qui est impliqué la, c'est apache.
Oui, bien sûr, mais comment un de mes "clients" pourrait-il utiliser
apache pour faire des bétises sur le ternet mondial ?
Aurais-tu un exemple ?
Merci de ton aide (ainsi qu'à Bastien Durel)
--
T'as pas les chevilles qui enflent des fois? Associer perl et "bon
programmeur" c'est original.
Merde, ça s'est vu :) Pfff, vous devenez de plus en plus difficiles à
coincer les gars :)
Le 08 Oct 2008 09:37:17 GMT, Thomas Pedoussaut a écrit:
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote: > Je fais tourner un apache sur mon PC perso, pour mon petit site > pourrave à usage personnel. > Dans les logs, j'ai quelque chose que je ne sais pas interpréter: 8<-----------8<---------8<----------8<----------8<----------8<----------8< > 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT > gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 > "-" "-" 8<-----------8<---------8<----------8<----------8<----------8<----------8< > Ça ressemble un peu à un robot qui chercherait à m'utiliser comme > relay de spam.
Surtout comme anonymiser.
Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer immediatement mod_proxy en commentant la ligne LoadModule proxy_module modules/mod_proxy.so dans ton httpd.conf
Mon apache (version2), n'a pas de lien de /etc/apache2/mods-available/proxy* vers /etc/apache2/mods-enabled/
> Ce qui me gène, c'est le code 200, signifiant que ma machine a > accepté la connexion et aurait renvoyé quelque chose (mais sans que > je sache à quoi peuvent bien correspondre ces 16510 octets).
Ben oui, tu as un proxy ouvert a tous vents
Ah ? Je pensais que non, puisque proxy.load et ses copains ne sont pas dans /etc/apache2/mods-enabled/
> Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui > tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix: > tout est normal.
C'est pas postfix qui est impliqué la, c'est apache.
Oui, bien sûr, mais comment un de mes "clients" pourrait-il utiliser apache pour faire des bétises sur le ternet mondial ? Aurais-tu un exemple ?
Merci de ton aide (ainsi qu'à Bastien Durel)
--
T'as pas les chevilles qui enflent des fois? Associer perl et "bon programmeur" c'est original.
Merde, ça s'est vu :) Pfff, vous devenez de plus en plus difficiles à coincer les gars :)