log apache: connexion a gmail-smtp-in.l.google.com ??

Le
Hugolino
[X-post:fciws,fcs - fu2:fcs]


Salut,

Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.

Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<--8<8<-8<-8<-8<-8<
69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
8<--8<8<-8<-8<-8<-8<

Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.

Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).

Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.

J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de
savoir interpréter sa sortie.

Que puis-je faire pour être sûr que ma machine n'est pas devenue un
relay de spam? Quels outils utiliser ?

Quelle serait la règle d'iptable ou le paramètre de configuration
d'apache qui enverrait bouler ces tentatives ?

J'ai googlé un peu et j'ai lu quelques trucs sur fail2ban qui semble
interessant. Mais n'est-ce pas un peu lourd à paramétrer correctement ?
(J'ai déjà essayé de comprendre la doc d'iptables et j'ai calé avant la
fin)


Merci de vos avis


--
You try to tell customers of the other airlines about the great trip, but all
they can say is, "You had to do what with the seat?" -+- LG #45 -+-
Hugo (né il y a 1 402 862 533 secondes)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bastien Durel
Le #17456341
On 07/10/2008 22:42, Hugolino wrote:
Salut,



Bonjour,

Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.

Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<

Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.



Ça y ressemble, oui

Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).

Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.



Cette requête ne demande pas à ta machine d'envoyer un mail, mais
d'ouvrir une connexion TCP vers le port 25 gmail-smtp-in.l.google.com et
de la retransmettre vers le client.
Postfix n'a aucune raison de voir quoi que ce soit.

J'ai regardé la sortie de 'netstat -taupe', mais je ne suis pas sûr de
savoir interpréter sa sortie.



Si on processus apache a une connection ouverte (Adresse distante) vers
un mx, sur le port 25, alors c'est louche ;)

Que puis-je faire pour être sûr que ma machine n'est pas devenue un
relay de spam? Quels outils utiliser ?



$ telnet tamachine 80
CONNECT gmail-smtp-in.l.google.com:25 HTTP/1.0
<transaction SMTP>

Quelle serait la règle d'iptable ou le paramètre de configuration
d'apache qui enverrait bouler ces tentatives ?



Dans apache: ProxyRequests Off

cf. http://httpd.apache.org/docs/2.2/mod/mod_proxy.html

--
Bastien
Thomas Pedoussaut
Le #17456671
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote:

[X-post:fciws,fcs - fu2:fcs]


Salut,

Je fais tourner un apache sur mon PC perso, pour mon petit site pourrave
à usage personnel.

Dans les logs, j'ai quelque chose que je ne sais pas interpréter:



8<-----------8<---------8<----------8<----------8<----------8<----------8<
69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-"
"-"
69.94.129.128 - - [07/Oct/2008:21:20:31 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-"
"-"
69.94.129.128 - - [07/Oct/2008:21:20:32 +0200] "CONNECT
gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510 "-"
"-"



8<-----------8<---------8<----------8<----------8<----------8<----------8<

Ça ressemble un peu à un robot qui chercherait à m'utiliser comme relay
de spam.



Surtout comme anonymiser.

Regarder la conf de ton apache, et si tu ne fait rien d'exotique, retirer
immediatement mod_proxy en commentant la ligne
LoadModule proxy_module modules/mod_proxy.so
dans ton httpd.conf



Ce qui me gène, c'est le code 200, signifiant que ma machine a accepté
la connexion et aurait renvoyé quelque chose (mais sans que je sache à
quoi peuvent bien correspondre ces 16510 octets).



Ben oui, tu as un proxy ouvert a tous vents


Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui tourne
pour envoyer mes mails, et j'ai vérifié les logs de postfix: tout est
normal.



C'est pas postfix qui est impliqué la, c'est apache.


--
Thomas
Hugolino
Le #17477901
Le 08 Oct 2008 09:37:17 GMT, Thomas Pedoussaut a écrit:
On Tue, 07 Oct 2008 20:42:46 +0000, Hugolino wrote:
> Je fais tourner un apache sur mon PC perso, pour mon petit site
> pourrave à usage personnel.
> Dans les logs, j'ai quelque chose que je ne sais pas interpréter:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
> 69.94.129.128 - - [07/Oct/2008:21:20:29 +0200] "CONNECT
> gmail-smtp-in.l.google.com:25 HTTP/1.0" 200 16510
> "-" "-"
8<-----------8<---------8<----------8<----------8<----------8<----------8<
> Ça ressemble un peu à un robot qui chercherait à m'utiliser comme
> relay de spam.

Surtout comme anonymiser.

Regarder la conf de ton apache, et si tu ne fait rien d'exotique,
retirer immediatement mod_proxy en commentant la ligne LoadModule
proxy_module modules/mod_proxy.so dans ton httpd.conf



Mon apache (version2), n'a pas de lien de /etc/apache2/mods-available/proxy*
vers /etc/apache2/mods-enabled/

> Ce qui me gène, c'est le code 200, signifiant que ma machine a
> accepté la connexion et aurait renvoyé quelque chose (mais sans que
> je sache à quoi peuvent bien correspondre ces 16510 octets).

Ben oui, tu as un proxy ouvert a tous vents



Ah ? Je pensais que non, puisque proxy.load et ses copains ne sont pas
dans /etc/apache2/mods-enabled/

Je viens de relancer le serveur avec 'apache2ctl -e debug', ça raconte:
8<-----------8<---------8<----------8<----------8<----------8<----------8<
[debug] mod_so.c(246): loaded module alias_module
[debug] mod_so.c(246): loaded module auth_basic_module
[debug] mod_so.c(246): loaded module authn_file_module
[debug] mod_so.c(246): loaded module authz_default_module
[debug] mod_so.c(246): loaded module authz_groupfile_module
[debug] mod_so.c(246): loaded module authz_host_module
[debug] mod_so.c(246): loaded module authz_user_module
[debug] mod_so.c(246): loaded module autoindex_module
[debug] mod_so.c(246): loaded module cgi_module
[debug] mod_so.c(246): loaded module dir_module
[debug] mod_so.c(246): loaded module env_module
[debug] mod_so.c(246): loaded module include_module
[debug] mod_so.c(246): loaded module info_module
[debug] mod_so.c(246): loaded module mime_module
[debug] mod_so.c(246): loaded module python_module
[debug] mod_so.c(246): loaded module negotiation_module
[debug] mod_so.c(246): loaded module php5_module
[debug] mod_so.c(246): loaded module rewrite_module
[debug] mod_so.c(246): loaded module setenvif_module
[debug] mod_so.c(246): loaded module status_module
8<-----------8<---------8<----------8<----------8<----------8<----------8<

La conf de mon serveur est accessible à
> Ma machine ne fait pas serveur de mail, j'ai juste un postfix qui
> tourne pour envoyer mes mails, et j'ai vérifié les logs de postfix:
> tout est normal.

C'est pas postfix qui est impliqué la, c'est apache.



Oui, bien sûr, mais comment un de mes "clients" pourrait-il utiliser
apache pour faire des bétises sur le ternet mondial ?
Aurais-tu un exemple ?

Merci de ton aide (ainsi qu'à Bastien Durel)


--
T'as pas les chevilles qui enflent des fois? Associer perl et "bon
programmeur" c'est original.


Merde, ça s'est vu :) Pfff, vous devenez de plus en plus difficiles à
coincer les gars :)
Publicité
Poster une réponse
Anonyme