Karl-Heinz Milaster: "POST http://12.65.157.181:25/ HTTP/1.1" 200 1494 ??

Hallo,

ich betreibe seit einigen Monaten einen Server (Apache 4.0.47, NT4, WinRoute Pro) mit einer Schach-Datenbank, angeschlossen über DSL.
Kann mir jemand sagen was
"POST http://12.65.157.181:25/ HTTP/1.1" 200 1494
bewirken soll? Das SMTP-Port (wie alle Ports ausser 80) sind laut Sygate-Scan "blocked". Mich irritiert, daß Apache nicht mit einem Fehler reagiert.
Hat jemand dazu eine Erklärung?

Besten Dank.
Karl-Heinz Milaster

  1. Moin!

    Kann mir jemand sagen was
    "POST http://12.65.157.181:25/ HTTP/1.1" 200 1494
    bewirken soll? Das SMTP-Port (wie alle Ports ausser 80) sind laut Sygate-Scan "blocked". Mich irritiert, daß Apache nicht mit einem Fehler reagiert.

    Da versucht offenbar jemand, den Apache als Proxy zu mißbrauchen, um einen SMTP-Server anzusprechen - und dann vermutlich zu spammen.

    Die Tatsache, dass Apache mit 200 den Erfolg signalisiert, sollte dich mißtrauisch machen!

    Ist die angesprochene IP-Adresse deine (bzw. war sie es zu diesem Zeitpunkt)?

    Hast du den Apache ordentlich konfiguriert? Das Proxy-Modul deaktiviert? Sowas solltest du zuerst mal nachgucken.

    Ansonsten kriegst du nämlich möglicherweise Probleme, und sei es nur den Ärger, deinem Provider erklären zu müssen, dass jemand deinen Rechner ohne deine Einwilligung zum Spammen mißbraucht hat. Und das wird kein wirklich angenehmes Gefühl sein, insbesondere nicht, wenn der Betrieb von eigenen Servern u.U. nicht erlaubt war.

    - Sven Rautenberg

    --
    ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
    1. Hallo Sven,

      besten Dank für Deinen Hinweis.

      Ist die angesprochene IP-Adresse deine (bzw. war sie es zu diesem Zeitpunkt)?

      Die IP-Adresse war zu keinem Zeitpunkt meine, weil die ersten beiden "Hausnummern" immer gleich sind und nicht übereinstimmen.
      Da ich einen Volumen-Tarif habe, ist das Betreiben eines Servers nicht verboten, kann in diesem Fall aber teuer werden.
      Habe den Server vorsorglich abgeklemmt ("Wartung") und werde das untersuchen.

      Gruss,
      khm

    2. Hallo Sven,

      Hast du den Apache ordentlich konfiguriert? Das Proxy-Modul deaktiviert? Sowas solltest du zuerst mal nachgucken.

      in httpd.conf werden die proxy-module nicht geladen:
      #LoadModule proxy_module modules/mod_proxy.so
      #LoadModule proxy_connect_module modules/mod_proxy_connect.so
      #LoadModule proxy_http_module modules/mod_proxy_http.so
      #LoadModule proxy_ftp_module modules/mod_proxy_ftp.so

      Die Direktive ProxyRequests hat die Voreinstellung "off", und da sie in der Konfigurationsdatei nicht vorkommt, ist "off" wohl gültig.

      Bleibt also immer noch die Frage, warum Apache mit 200 quittiert hat.

      Gruss,
      khm

      1. Es hat schon früher Versuche über Port 25 gegeben:

        200.215.113.138 - - [28/Jul/2003:13:04:10 +0200] "CONNECT mx1.mail.yahoo.com:25 HTTP/1.0" 405 308
        64.228.99.126 - - [18/Aug/2003:02:02:01 +0200] "CONNECT 209.226.175.80:25 HTTP/1.0" 405 304

        Der Unterschied zu dem letzten Versuch

        12.65.157.181 - - [08/Sep/2003:00:56:51 +0200] "POST http://12.65.157.181:25/ HTTP/1.1" 200 1494

        ist, dass nicht "CONNECT", sondern "POST" gesendet wurde.

        Mfg,
        khm

        1. Moin!

          200.215.113.138 - - [28/Jul/2003:13:04:10 +0200] "CONNECT mx1.mail.yahoo.com:25 HTTP/1.0" 405 308
          64.228.99.126 - - [18/Aug/2003:02:02:01 +0200] "CONNECT 209.226.175.80:25 HTTP/1.0" 405 304

          Der Unterschied zu dem letzten Versuch

          12.65.157.181 - - [08/Sep/2003:00:56:51 +0200] "POST http://12.65.157.181:25/ HTTP/1.1" 200 1494

          ist, dass nicht "CONNECT", sondern "POST" gesendet wurde.

          Die Zeilen sind eindeutig: Jemand versucht, dich als Proxy zu mißbrauchen. Die oberen beiden Zeilen wurden mit Fehler 405 quittiert - CONNECT als Methode ist nicht erlaubt.

          Die POST-Zeile ist ziemlich eindeutig: Jemand versucht zu testen, ob du dich als Proxy eignest, indem er dich veranlassen will, auf sich selbst zu connecten. Damit kann er den Erfolg gleich feststellen.

          Wie gesagt: Das Resultat "200 OK" deines Apache irritiert mich wirklich. Ich bin hier aber am Ende meines Wissens angelangt, was die Bedeutung dieses Statuscodes und die Konfiguration zur Verhinderung solcher Versuche angeht.

          Vielleicht ist das alles absolut ok so. Vielleicht auch nicht. Ich versuche mal, Aufmerksamkeit bei weiteren Experten des Forums zu erregen.

          - Sven Rautenberg

          --
          ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
          1. Hallo,

            ich habe bei mir mal durchsucht und ich habe die Einträge ähnlich, jedoch hat mein Apache korrekt auch auf den POST-Versuch mit 405 geantwortet. Ich habe bewusst nichts an der Konfiguration geändert, da der Apache die meiste Zeit hinter einer Firewall läuft und der Zugriff manuell freigegeben werden muss, da er auch auf Port 80 normalerweise nur innert des Netzwerks erreichbar ist.

            64.152.13.137 - - [06/Oct/2002:01:49:51 +0200] "CONNECT maila.microsoft.com:25 / HTTP/1.0" 400 372

            130.94.69.75 - - [22/Jan/2003:06:41:08 +0100] "CONNECT maila.microsoft.com:25 HTTP/1.0" 405 303

            200.30.203.160 - - [06/Feb/2003:11:33:29 +0100] "CONNECT 194.67.57.100:25 HTTP/1.0" 405 303
            200.30.203.160 - - [06/Feb/2003:11:33:30 +0100] "POST http://mxs.mail.ru:25/ HTTP/1.0" 405 300

            Selbst als FTP-Proxy gescannt. ;)
            217.82.30.88 - - [10/Oct/2002:17:51:06 +0200] "CONNECT 207.46.133.140:21 HTTP/1.0" 405 303
            217.80.156.16 - - [13/Dec/2002:09:59:44 +0100] "CONNECT 207.46.133.140:21 HTTP/1.0" 405 303
            ...

            Dazu die ebenfalls üblichen Versuche, IRC über meinen Server zu erreichen, vielleicht suchst und kontrollierst Du auch mal nach diesen Einträgen.

            213.221.189.10 - - [04/Oct/2002:15:10:44 +0200] "CONNECT 213.221.189.10:6660 HTTP/1.0" 405 303
            213.221.189.10 - - [04/Oct/2002:16:23:40 +0200] "CONNECT 213.221.189.10:6660 HTTP/1.0" 405 303
            62.47.130.59 - - [03/Nov/2002:14:54:37 +0100] "CONNECT irc.fu-berlin.de:6667: HTTP/1.0" 400 333
            62.47.130.59 - - [03/Nov/2002:14:55:35 +0100] "CONNECT irc.fu-berlin.de:6667: HTTP/1.0" 400 333

            Vielleicht nutzt es was zu wissen, wie der Indianer sich sonst benimmt, ohne gezielte Einstellungen.

            Gruss, Thoralf

            --
            Sic Luceat Lux!
    3. Hallo,

      mein Kenntnis-Stand ist jetzt, dass eine Proxy-Verbindung nur über "CONNECT" (RFC 2616), nicht aber über "POST" hergestellt werden kann. Ist das richtig?

      Gruss,
      khm

      1. Moin!

        mein Kenntnis-Stand ist jetzt, dass eine Proxy-Verbindung nur über "CONNECT" (RFC 2616), nicht aber über "POST" hergestellt werden kann. Ist das richtig?

        Nein, das würde ich nicht so sehen. Ein Proxy-Server arbeitet HTTP-mäßig gesehen genauso, wie ein HTTP-Server. Lediglich die Requests sehen anders aus.

        Ein HTTP-Server erhält üblicherweise solche Requests:
        GET /verzeichnis/datei.html HTTP/1.1

        Ein Proxy muß gesagt bekommen, von welchem Server er abrufen soll, also sieht der Requests etwas anders aus:
        GET http://www.example.com/verzeichnis/datei.html HTTP/1.1

        POST wurde vermutlich verwendet, um einen direkten Datenstrom zum Mailserver senden zu können. Der Mailserver wird wahrscheinlich die HTTP-Headerzeilen alle mit Fehlermeldungen quittieren, und erhält irgendwann dann die Zeilen des POST-Requests, in denen wohl Anweisungen zum Versand einer Mail stehen.

        CONNECT ist nach meiner Erkenntnis noch nicht wirklich ausgearbeitet (die eine Zeile in der RFC reserviert das Wort nur schonmal).

        - Sven Rautenberg

        --
        ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
        1. Moin!

          CONNECT ist nach meiner Erkenntnis noch nicht wirklich ausgearbeitet (die eine Zeile in der RFC reserviert das Wort nur schonmal).

          CONNECT wird normalerweise im Zusammenhang mit https verwendet. Da der Proxy den verschluesselten Datenstrom nicht versteht/verstehen darf, beschraenkt er sich darauf, die verschluesselten Rohdaten einfach durchzureichen. Dazu wird mit CONNECT vom Client so eine Durchreicheverbindung zum https-Server aufgebaut. Dann redet der Client "fast direkt" mit dem Server ganz normales http. Der Proxy funktioniert nun wie ein Router auf hoeherem Protokolllevel. Darin liegt auch seine Schwaeche: Auf diese Weise kann man theoretisch beliebige TCP-Verbindungen initiieren, woraus sich allerlei Missbrauchsmoeglichkeiten eroeffnen. Man muss dann durch entsprechende Konfiguration dafuer sorgen, dass z.B. nur Verbindungen zum Standard-https-Port (443) von innerhalb des durch Firewall abgeschotteten Netzwerks zugelassen werden.

          So long

          --
          I'm sorry. It has to end here.
  2. Hallo,

    ich betreibe seit einigen Monaten einen Server (Apache 4.0.47, NT4, WinRoute Pro) mit einer Schach-Datenbank, angeschlossen über DSL.
    Kann mir jemand sagen was
    "POST http://12.65.157.181:25/ HTTP/1.1" 200 1494
    bewirken soll? Das SMTP-Port (wie alle Ports ausser 80) sind laut Sygate-Scan "blocked". Mich irritiert, daß Apache nicht mit einem Fehler reagiert.
    Hat jemand dazu eine Erklärung?

    Vorschlag: Mach doch mal selbst einen POST auf obenstehende URL mit Port 25, den POST kannst Du zb mit PERL machen, siehe Link.

    Ein POST auf den Schachserver (80) wird wie folgt quittiert:

    HTTP/1.1 405 Method Not Allowed
    Connection: close
    Date: Mon, 08 Sep 2003 09:22:11 GMT
    Server: Apache/1.3.27 (Unix)
    Allow: GET, HEAD, OPTIONS, TRACE
    Content-Type: text/html; charset=iso-8859-1
    Client-Date: Mon, 08 Sep 2003 09:22:12 GMT
    Client-Peer: 212.227.127.209:80
    Title: 405 Method Not Allowed

    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <HTML><HEAD>
    <TITLE>405 Method Not Allowed</TITLE>
    </HEAD><BODY>
    <H1>Method Not Allowed</H1>
    The requested method POST is not allowed for the URL /index.html.<P>
    </BODY></HTML>

    ---> es sollte also ein 404 kommen, das wäre OK.

    Viele Grüße, Rolf

  3. Ich habe mir (mit Delphi + Indy-Komponenten) einen HTTP-Client geschrieben, der ein identisches "POST" an meinen Datenbank-Server sendet. Auch jetzt steht in der Log-Datei ok (200). Apache sendet jedoch lediglich die Datei index.html zurück - warum auch immer.

    Nachmal bestend Dank für die Unterstützung.
    Karl-Heinz Milaster