Logwatch: tentativas de conexão usando mod_proxy

4

Hoje eu notei essa entrada no meu arquivo de log:

Connection attempts using mod_proxy:
175.180.113.83 -> 66.135.210.61:80: 1 Time(s)

Isso é algo que normalmente não vejo nos meus registros. Eu tenho algumas perguntas sobre isso:

  1. O que isso realmente significa? Isso significa que alguém tentou acessar meu servidor por meio de uma conexão com proxy?
  2. Qual é o primeiro endereço IP? Este é o IP de origem?
  3. Qual é o segundo endereço IP? Este é o servidor que eles usaram como proxy?
  4. Se o que eu disse para 2 e 3 está correto, como o Logwatch (ou o que quer que seja no Linux resolvendo isso) pode detectar o IP de origem? Eu pensei que um proxy deveria ajudar no anonimato e fazer com que o endereço IP de origem fosse completamente mascarado?
  5. O que isso significa? Essas solicitações são geralmente de bots que estão procurando brechas de segurança adicionais? Qual é o ponto crucial de passar por um proxy para acessar meu servidor?

EDIT: Parece que 66.135.210.61 pertence ao eBay e o outro IP pertence a alguém em Taiwan. Isso significa que alguém acessou meu servidor através do eBay? A segurança do eBay não deveria ser boa o suficiente para evitar coisas assim?

Obrigado

    
por Aaron 05.07.2011 / 05:48

1 resposta

6

Na verdade, significa o oposto do que você sugeriu: a pessoa em Taiwan acessou (ou tentou acessar) o eBay através do seu servidor. Isso significa que alguém estava usando sua máquina como um proxy aberto. O mais provável é que eles estivessem investigando se você tinha um proxy aberto configurado. O fato de que a mensagem diz "tentativa" sugere que eles não tiveram sucesso, mas um pouco do Google sugere que isso pode significar que eles realmente conseguiram. O que você quer fazer é certificar-se de que não está executando o mod_proxy e desativar o verbo CONNECT se não precisar deles.

Um artigo que achei que pode ser útil é o link

    
por 05.07.2011 / 06:20