Re: Apache2 er gået amok

To: debian-user-danish@lists.debian.org
Subject: Re: Apache2 er gået amok
From: Flemming Bjerke <flem@bjerke.dk>
Date: Fri, 25 Aug 2006 13:09:50 +0200
Message-id: <[🔎] 200608251309.50979.flem@bjerke.dk>
In-reply-to: <928686150608242355l57ecf190lbe32256545a22d32@mail.gmail.com>
References: <[🔎] 200608250017.03350.flem@bjerke.dk> <928686150608242355l57ecf190lbe32256545a22d32@mail.gmail.com>

Friday 25 August 2006 08:55 skrev Admir Trakic:
> Har du sæt nogle security options?
>
>  <Proxy *>
> Order Deny,Allow
> Deny from all
> Allow from 192.168.0
> </Proxy>
>
> eller hvad med  ProxyBlock

Denne hjælper ikke:
<Proxy *>
Order Deny,Allow
Deny from all
</Proxy>

og denne hjælper heller ikke:
ProxyBlock *

Ej heller hjælper dette:
a2dismod proxy

Til Jacob Sparre. Jeg tror ikke php er problemet. (Se også nederst i mailen.):
#AddType application/x-httpd-php .php
#AddType application/x-httpd-php-source .phps
a2dismod php4
This module is already disabled, or does not exist!

I det sekund jeg starter apacheserveren sprøjter der traffik igennem: Mindst 
10-20 forbindelser pr. sek. Jeg føler mig rimelig overbevist om at det drejer 
sig om:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316173

Det fremgår at denne bug ikke rammer apache-1.3 (passer med mine 
iagttagelser). MEN min vhcs kan ikke uden videre køre apache1.3! Af 
bugreporten fremgår det at problemet skulle være løst, men jeg er ikke ganske 
overbevist.

Mads skriver:
> Nu vil jeg nødig gøre mig klog på hvordan den bruges som proxy, men hvis 
> du kan finde ud af om der REQUESTSne ligner hinanden på en eller anden 
> måde, vil du muligvis kunne blokere dem med mod_security.

Så vidt jeg fatter, beder den remote servers URI om at min server leverer 
indholdet af en bestemt url, og i fald den svarer med 404 (hvad den gør), så 
beder den serveren om at hente en bestemt side for den, og det gør serveren 
så (selvom den ikke må):
The Apache HTTP Web Server violated one RFC2616 policy, wherein Content-Length 
headers are invalid in combination with Transfer-Encoding: chunked headers. 
While Apache HTTP Server consistently interprets the chunked encoding, and 
ignored the invalid Content- Length header, the header could persist through 
the proxy to the backend server.
https://www.covalent.net/account/alerts/20050714.html
http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.4

Mon ikke jeg må kompilere en apache2.0.55 med en af de bugfix som nævnes i 
bugs.debian linket ovenfor. Alternativt kunne jeg compilere en hel ny 
apache2.2.3, men så kobles jeg jo af debians sikkerhedssystem ... selvom det 
ikke er ganske overbevisende i tilfældet apache. 

Hvad mener I?

Flemming

PS: Lige for at I kan se en mindre del af hvad der væltede ind kl. 10:35:56: 

66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST 
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404 
1234 "http://coralcoastdivers.com/proxy.php"; "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST 
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404 
1234 "http://coralcoastdivers.com/proxy.php"; "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

142.167.57.230 - - [25/Aug/2006:10:35:56 +0200] "GET 
http://a436.b.akamai.net/sbc.login.yahoo.com/config/login?login=dallasapache&passwd=shadow 
HTTP/1.0" 404 1231 "http://edit1.client.vip.sc5.yahoo.com"; "-"

66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST 
http://coralcoastdivers.com/proxy.php HTTP/1.1" 404 
1234 "http://coralcoastdivers.com/proxy.php"; "User
-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

==========================
min sites-avialable/default:

NameVirtualHost 213.173.250.117

<VirtualHost 213.173.250.117:80>
        ServerAdmin webmaster@localhost
        ServerName formeget.dk
        ServerAlias www.formeget.dk
        DocumentRoot /var/www/
#       <Directory />
#               Options FollowSymLinks
#               AllowOverride None
#       </Directory>
        <Directory /var/www>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

#       ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
#       <Directory "/usr/lib/cgi-bin">
#               AllowOverride None
#               Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
#               Order allow,deny
#               Allow from all
#       </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Reply to:

Follow-Ups:
- Re: Apache2 er gået amok
  - From: Sune Vuorela <nospam@vuorela.dk>
- Re: Apache2 er gået amok
  - From: asjo@koldfront.dk (Adam Sjøgren)

References:
- Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>

Prev by Date: Re: Apache2 er gået amok
Next by Date: Re: Apache2 er gået amok
Previous by thread: Re: Apache2 er gået amok
Next by thread: Re: Apache2 er gået amok
Index(es):
- Date
- Thread