Forum Ubuntu-it

Ciao a tutti
Ho un server web con Ubuntu 9.10 che per ora non è ancora stato "ufficializzato". Lavoro sui contenuti e credo mi ci vorrà ancora qualche mese. Fisicamente server è dietro al firewall aziendale ed è permesso solo traffico http dalla wan. Funzionare funziona tutto benone, però.. da un paio di giorni vedo nel other_vhostc_access.log le connessioni da un piccolo provider cinese che tenta di sfruttare il mio server per connettersi a un paio di IP appartenenti a AOL.
Per la verità ho già trovato anche un forum francese dove is sescrive la stessa situazione e, caso vuole, lo stesso attacante e gli stessi indirizzi IP di AOL (che tenacia). Vi do il link, anche perché ora sono a casa e mi risulta impossibile copiare il mio log: http://forum.ovh.com/showthread.php?p=331573
francese lo conosco per la verità solo con google translate

comunque...
la domanda:
ci sono le vulnerabilità precise che potrebbero favorire lo sfruttamento di web server in questo modo?
bisogna rivedere bene tutto quello che ho installato (fresco di tre settimane lamp, joomla, postfix, no ftp, no phpmyadmin, no ssh)?
bisogna difendersi o è solo un tentativo goffo di un ragazzino che difficilmente creerà dei problemi veri?

vi ringrazio molto pe le risposte

Beh se le richieste stanno in other-vhosts-access.log magari è solamente un tentativo proveniente da uno scan... non conoscendo il nome completo del vhost magari non riescono nemmeno ad accedere al vhost che serve i tuoi contenuti e si ritrovano la pagina "It Works" di apache perchè provano direttamente sull'IP esterno.

Non credo che ci siano rischi... a meno che apache non serva 'a tutti' i vhost la stessa www_root, li forse qualche vulnerabilità di joomla potrebbe sbucare!

Ma meglio sentire anche gli altri.

eee..purtroppo serve direttamente il sito ma non credo sia il problema di Joomla (ultima versione). Ora vado sul server e incollo qui il log (mio). Spero proprio che sia come dici tu (yes)
Allora:

Codice: Seleziona tutto

mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:29:14 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:33:07 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:37:01 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:41:03 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:45:25 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:49:37 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:53:28 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:20:57:20 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 20440 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:21:01:13 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 200 13140 "-" "-"
mydomain.it:80 58.62.172.114 - - [13/Dec/2009:21:05:07 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 13140 "-" "-"

ecco come stavano le cose. poi ho chiuso le porte di firewall per l'intermediario (che suppongo sia solo ultimo di una lunga catena) Non viene più il disgraziato.
Attendo fiduciosa qualche suggerimento dai guru

Forum Ubuntu-it

[Server] impedire ad usare il server web a mo' di proxy

[Server] impedire ad usare il server web a mo' di proxy

Re: [Server] impedire ad usare il server web a mo' di proxy

Re: [Server] impedire ad usare il server web a mo' di proxy