CONNECT in apache logs

Post by Paul van der Vlis
Hallo,
Kan iemand me meer vertellen over wat een CONNECT in de apache-logs
precies betekent? Met daarachter een "200" wat betekent dat gelukt is?
Ik heb begrepen dat dit inhoud dat er een proxy-verbinding is opgebouwd,
waarschijnlijk voor het versturen van spam.
118.161.240.202 - - [19/Jul/2008:22:18:14 +0200]
"CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 6374

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

X.

Hans W

2008-09-29 17:20:18 UTC

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Of een poging van een irc botje dat kijkt of je lek bent voor ze
je toegang geven.

Paul van der Vlis

2008-09-29 18:55:28 UTC

Post by Hans W

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Of een poging van een irc botje dat kijkt of je lek bent voor ze
je toegang geven.

Blijft toch de vraag "waarom een 200?".

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Paul van der Vlis

2008-09-29 18:52:15 UTC

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

Ik zie wel vaker een CONNECT in de apache logs van andere machines, maar
dan worden die gevolgt door 400, 405 of 302 meldingen, wat betekent dat
het mislukt is. Waarom hier dan een 200?

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Philip Paeps

2008-09-29 20:07:01 UTC

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Post by Paul van der Vlis
Ik zie wel vaker een CONNECT in de apache logs van andere machines, maar
dan worden die gevolgt door 400, 405 of 302 meldingen, wat betekent dat
het mislukt is. Waarom hier dan een 200?

Omdat het niet mislukt is? Probeer zelf eens een connect door netcat en volg
je logs?

- Philip

--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

[discussing exam questions]
<Stotty|exam> "Under what circumstances should one consider creating an
Excel macro"
<Rah> end of the world drawing nigh & no friends to comfort you

Joost de Heer

2008-09-29 20:24:10 UTC

Post by Paul van der Vlis
Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Met 2.2: httpd -M (laat ook de dynamisch geladen modules zien)

Joost

Paul van der Vlis

2008-10-01 07:35:45 UTC

Post by Joost de Heer

Post by Paul van der Vlis
Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Met 2.2: httpd -M (laat ook de dynamisch geladen modules zien)

Bedankt!

server:/home/paul# apache2 -M
Loaded Modules:
core_module (static)
log_config_module (static)
logio_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
actions_module (shared)
alias_module (shared)
auth_basic_module (shared)
authn_file_module (shared)
authz_default_module (shared)
authz_groupfile_module (shared)
authz_host_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cgi_module (shared)
dav_module (shared)
dav_fs_module (shared)
dir_module (shared)
env_module (shared)
mime_module (shared)
negotiation_module (shared)
php5_module (shared)
setenvif_module (shared)
ssl_module (shared)
status_module (shared)
userdir_module (shared)
Syntax OK

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Paul van der Vlis

2008-10-01 07:42:59 UTC

Post by Joost de Heer

Post by Paul van der Vlis
Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Met 2.2: httpd -M (laat ook de dynamisch geladen modules zien)

Bedankt!
server:/home/paul# apache2 -M

Oeps, commando uitgevoerd in verkeerde terminal:

elo2:~# apache2 -M
Loaded Modules:
core_module (static)
log_config_module (static)
logio_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
actions_module (shared)
alias_module (shared)
auth_basic_module (shared)
authn_file_module (shared)
authz_default_module (shared)
authz_groupfile_module (shared)
authz_host_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cache_module (shared)
cgi_module (shared)
dir_module (shared)
env_module (shared)
mem_cache_module (shared)
mime_module (shared)
negotiation_module (shared)
php5_module (shared)
rewrite_module (shared)
setenvif_module (shared)
status_module (shared)
Syntax OK

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Paul van der Vlis

2008-09-30 12:25:04 UTC

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Het rare is dat ik helemaal geen "httpd" heb (Debian).

Omdat het niet mislukt is? Probeer zelf eens een connect door netcat en volg
je logs?

Ik ga het proberen.

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Philip Paeps

2008-10-01 06:52:17 UTC

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -l en grep ^LoadModule httpd.conf.

Het rare is dat ik helemaal geen "httpd" heb (Debian).

Dan heb je geen Apache.

- Philip

--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

<jester> it's a bit moist outside
<Morti> And Ducttape and I just had to transport a monitor from her
house to mine, which was fun. Gave it my coat in the end.
* Paul imagines a gameshow "what gender is ducttape today?!"
<Paul> or did you mean you gave the monitor your coat..

richard lucassen

2008-10-01 07:12:31 UTC

On 1 Oct 2008 06:52:17 GMT

Post by Paul van der Vlis
Het rare is dat ik helemaal geen "httpd" heb (Debian).

Dan heb je geen Apache.

$ ps ax | grep apache
10655 ? S 0:03 /usr/sbin/apache2 -k start
10660 ? S 0:03 /usr/sbin/apache2 -k start
10768 ? S 0:05 /usr/sbin/apache2 -k start
10779 ? S 0:02 /usr/sbin/apache2 -k start
10801 ? S 0:02 /usr/sbin/apache2 -k start
10827 ? S 0:01 /usr/sbin/apache2 -k start
10861 ? S 0:00 /usr/sbin/apache2 -k start
10863 ? S 0:00 /usr/sbin/apache2 -k start
10864 ? S 0:00 /usr/sbin/apache2 -k start
10865 ? S 0:00 /usr/sbin/apache2 -k start
10936 ? S 0:00 /usr/sbin/apache2 -k start
10937 ? S 0:00 /usr/sbin/apache2 -k start
10957 pts/0 R+ 0:00 grep apache
29550 ? Ss 0:01 /usr/sbin/apache2 -k start
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Paul van der Vlis

2008-10-01 07:38:06 UTC

Post by richard lucassen
On 1 Oct 2008 06:52:17 GMT

Post by Paul van der Vlis
Het rare is dat ik helemaal geen "httpd" heb (Debian).

Dan heb je geen Apache.

Klopt, ik kan inderdaad "apache2" gebruiken in plaats van "httpd".

Ik vraag me wel af of Debian dit gerenamed heeft en zo ja waarom. Dit
soort dingen zijn verwarrend.

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

richard lucassen

2008-10-01 07:41:35 UTC

On Wed, 01 Oct 2008 09:38:06 +0200

Post by richard lucassen

Post by Philip Paeps
Dan heb je geen Apache.

Klopt, ik kan inderdaad "apache2" gebruiken in plaats van "httpd".
Ik vraag me wel af of Debian dit gerenamed heeft en zo ja waarom. Dit
soort dingen zijn verwarrend.

Geen idee, er zal ongetwijfeld een reden voor zijn. Wellicht omdat er
nog meer httpd's rondzwerven?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+

Koos van den Hout

2008-09-29 20:39:53 UTC

Post by Paul van der Vlis
Kan iemand me meer vertellen over wat een CONNECT in de apache-logs
precies betekent? Met daarachter een "200" wat betekent dat gelukt is?
Ik heb begrepen dat dit inhoud dat er een proxy-verbinding is opgebouwd,
waarschijnlijk voor het versturen van spam.
118.161.240.202 - - [19/Jul/2008:22:18:14 +0200]
"CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 6374

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -t -D DUMP_MODULES

Ik heb hier ook wel eens tegenaangekeken en toen kwam uit zelf testen van
de geachte server dat de '200' status een artefact is van het compleet
afwezig zijn van de proxy module. Op een machine met een proxy module (die
dit van buitenaf absoluut niet toelaat) zie ik wel de juiste status (405)
in de logs.

Je kunt gewoon dit met je eigen server te proberen vanaf een extern IP:

$ telnet jouw.server 80
..
CONNECT mail3.xps.idv.tw:25 HTTP/1.0

(een lege regel overslaan)

ik krijg in de sessie keurig
HTTP/1.1 405 Method Not Allowed

maar in de log zie ik op die machine zonder proxy modules een status 200:

87.249.97.178 - - - [29/Sep/2008:22:35:02 +0200] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 297 - - -> /

Koos

--
Koos van den Hout, PGP keyid DSS/1024 0xF0D7C263 via keyservers
***@kzdoos.xs4all.nl or RSA/1024 0xCA845CB5
Snowcam: webcams for your wintersport holiday
http://idefix.net/~koos/ http://www.snowcam.org/

Paul van der Vlis

2008-10-01 07:52:18 UTC

Post by Koos van den Hout

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik heb geen proxy modules geinstalleerd, in elk geval staan dergelijke
modules niet in /etc/apache2/mods-enabled/ (maar er is vast een betere
manier om dat te checken).

httpd -t -D DUMP_MODULES

elo2:~# apache2 -t -D DUMP_MODULES
Loaded Modules:
core_module (static)
log_config_module (static)
logio_module (static)
mpm_prefork_module (static)
http_module (static)
so_module (static)
actions_module (shared)
alias_module (shared)
auth_basic_module (shared)
authn_file_module (shared)
authz_default_module (shared)
authz_groupfile_module (shared)
authz_host_module (shared)
authz_user_module (shared)
autoindex_module (shared)
cache_module (shared)
cgi_module (shared)
dir_module (shared)
env_module (shared)
mem_cache_module (shared)
mime_module (shared)
negotiation_module (shared)
php5_module (shared)
rewrite_module (shared)
setenvif_module (shared)
status_module (shared)
Syntax OK

Post by Koos van den Hout

Ik heb hier ook wel eens tegenaangekeken en toen kwam uit zelf testen van
de geachte server dat de '200' status een artefact is van het compleet
afwezig zijn van de proxy module. Op een machine met een proxy module (die
dit van buitenaf absoluut niet toelaat) zie ik wel de juiste status (405)
in de logs.
$ telnet jouw.server 80
..
CONNECT mail3.xps.idv.tw:25 HTTP/1.0
(een lege regel overslaan)
ik krijg in de sessie keurig
HTTP/1.1 405 Method Not Allowed
87.249.97.178 - - - [29/Sep/2008:22:35:02 +0200] "CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 297 - - -> /
Koos

Bedankt voor je uitleg!
Ik krijg een "200 OK". Later overigens wel een "close":

----------
***@server:~$ telnet xxx.xxx.xx 80
Trying 1.2.3.4...
Connected to xxx.xxx.xx.
Escape character is '^]'.
CONNECT mail3.xps.idv.tw:25 HTTP/1.0

HTTP/1.1 200 OK
Date: Wed, 01 Oct 2008 07:45:49 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch11
X-Powered-By: PHP/5.2.0-8+etch11
Set-Cookie: dk_sid=rvspm6nrv08932q67s03ohlfp0; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Content-Length: 7169
Connection: close
Content-Type: text/html; charset=iso-8859-15

<!DOCTYPE html
(...)
------------

Met vriendelijke groet,
Paul van der Vlis.

--
http://www.vandervlis.nl/

Ruben van der Leij

2008-10-01 09:00:28 UTC

Post by Paul van der Vlis
"CONNECT mail3.xps.idv.tw:25 HTTP/1.0" 200 6374

Een poging van een spammer, mislukt tenzij je de proxy module
geactiveerd hebt.

Ik zie wel vaker een CONNECT in de apache logs van andere machines,

CONNECT mail3.xps.idv.tw:25 HTTP/1.0

Even op een niet-aan-proxies gerelateerde noot:

Oct 1 00:11:48 polaris pdns[10435]: Received a malformed qdomain from 61.31.233.2, 'HELO mail3.[knip].nl': dropping
Oct 1 00:11:52 polaris pdns[10435]: Received a malformed qdomain from 61.31.233.2, 'HELO mail3.[knip].nl': dropping
Oct 1 00:11:56 polaris pdns[10435]: Received a malformed qdomain from 61.31.233.2, 'HELO mail3.[knip].nl': dropping

Even voor de duidelijk: pdns is een nameserver. Spammers proberen SMTP te
praten tegen een nameserver. Als dat geen rule #1 is.. (spammers zijn dom)

--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.

richard lucassen

2008-10-01 09:33:16 UTC