Salut,
J'avais un serveur en production pour ma compagnie avec Ubuntu 7.04 et apache 2.2.3.
Le serveur sert pour mon mail (imap, pop3), gateway et serveur web.
Le serveur semble avoir été hacké avec une fail du module proxy de apache. J'utilisais le module proxy pour des application en turbogears (python).
voici un exemple de log :
Code :
www.vimba.ca||||-||||218.247.3.10 - - [28/Nov/2007:14:17:11 -0500] "GET http://network.realmedia.com/RealMedia/ads/adstream_jx.ads/didaauto/120x600/ron/aut/ss/a@x08 HTTP/1.0" 301 - "http://www.didaauto.com/article_show.php?id=100" "Mozilla/4.76 [en] (X11; U; SunOS 5.7 sun4u)"
www.vimba.ca||||-||||61.139.106.232 - - [28/Nov/2007:14:17:11 -0500] "GET http://ad.marketingsector.com/imp?z=0&s=234219&u=http%3A%2F%2Fwww.voogames.com%2Findex.html&r=1&y=30 HTTP/1.1" 301 - "http://www.voogames.com/index.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"
www.vimba.ca||||111||||61.139.106.232 - - [28/Nov/2007:14:17:14 -0500] "GET http://ad.marketingsector.com/imp/?y=30&r=1&s=234219&z=0&u=http%3A%2F%2Fwww.voogames.com%2Findex.html HTTP/1.1" 404 111 "http://www.voogames.com/index.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)"
www.vimba.ca||||111||||122.99.172.5 - - [28/Nov/2007:14:17:13 -0500] "GET http://www.arcadeaffiliate.com/work.php?n=597&size=2&j=1&c=1&code=1196278065250 HTTP/1.0" 404 111 "http://www.ixflash.net" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
www.vimba.ca||||-||||59.23.225.51 - - [28/Nov/2007:14:17:13 -0500] "GET http://ad.marketingsector.com/imp?z=0&s=191267&u=http%3A%2F%2Fwww.howflashgames.com%2Findex.html&r=1&y=30 HTTP/1.1" 301 - "http://www.howflashgames.com/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
voici la fail :
http://www.securityfocus.com/bid/24645/infoAlors ce que j'ai déactivé le proxy, mod_status, et mod_rewrite. (supprimer de /etc/apache2/mods-enable/)
Rien a faire, dès que je redémarre apache, il se met a ouvrir une cinquantaine et plus de connexions comme décrit dans le log.
J'ai ensuite upgrader à 7.10 et apache 2.2.4 (dernier pour ubuntu). Mais ca persiste encore.
Est-ce que quelqu'un sais comment je peux me débarrasser de ca?
Merci