Saludos,

hace unos meses tuve un problema con mi ISP porque dejè una regla de squid mal ubicada y me estaba permitiendo un open proxy y estuvieron enviando spam desde mi servidor por tal motivo...reparé el problema y ya no tuve ese inconveniente y todo se solucionó con el ISP...pero me nació una duda, existe la posibilidad de que alguien haga envío de spam a través de apache?

segun entiendo hay posiblidad de hacerlo pero no comprendo qué configuración o mal configuración lo hace posible y como se asegura el apache para que no puedan hacerlo. Leí un par de documentos en spamcop.net pero no acabo de entender si esque esto es una vulnerabilidad que queda abierta por default en apache al momento digamos de una instalación nueva y activación del servidor web o es algo que ocurre en versiones no actualizadas.

El manual del sitio para configuración de sendmail es muy bueno para evitar el asunto del spam via servidores de correo y me interesaría de ser un peligro latente este del spam via apache, saber si existe un manual o howto que nos ayude a comprobar si un serivdor es vulnerable en este sentido y como remediarlo.

Quizá solo sea una paranoia mia, pero para muestra un botón y me bastó con lo del open proxy de squid.

Gracias por cualquier información.

Un ejemplo de lo que me pone en paranoia es esto, es el registro de webmin del httpd:

--------------------- httpd Begin ------------------------


Connection attempts using mod_proxy:
61.216.244.30 -> mail2.xps.idv.tw:25: 7 Time(s)
61.216.244.30 -> mail3.xps.idv.tw:25: 8 Time(s)

A total of 2 sites probed the server
190.198.116.7
61.152.245.158

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

null HTTP Response 200

Requests with error response codes
400 Bad Request
/w00tw00t.at.ISC.SANS.DFind: 1 Time(s)
404 Not Found
/%7Bsite_url%7D%5Cimages%5Cspeck.gif: 2 Time(s)
/%7Bsite_url%7D/images/speck.gif: 25 Time(s)
/Scripts/AC_RunActiveContent.js: 14 Time(s)
/backend/docs/index.html: 1 Time(s)
/favicon.ico: 25 Time(s)
/layout/garden/images/6.gif: 28 Time(s)
/plugins/spamx/BlackList.Examine.class.php ... .lct-net.cl/id?: 1 Time(s)
/plugins/spamx/BlackList.Examine.class.php ... gi_bin/id.txt??: 1 Time(s)
/plugins/spamx/BlackList.Examine.class.php ... ia2/galery.txt?: 1 Time(s)
/staticpages/%7Bsite_url%7D/images/speck.gif: 1 Time(s)
/staticpages/favicon.ico: 5 Time(s)
http://rusof.com/Judge.php?ip=74.50.98.254: 1 Time(s)
http://www1.softservice.us/CheckProxy.php? ... 0.49.183.131:80: 3 Time(s)
500 Internal Server Error
/cgi-bin/openwebmail/openwebmail.pl: 6 Time(s)

---------------------- httpd End -------------------------

Algunas claro son de errores de algunos archivos mios de los que estoy conciente, pero los demas son ataques!!! o intentos de ataque.

Gracias por cualquier información.

---

Eeeh, me pareció ver un lindo pinguino....jejeje...

En general cuando se esta usando un servidor web para enviar spam es porque te han metido codigo para esto y cuando esto pasa es por varias razones, todas de seguridad claro esta. Una forma en la que te podrias dar cuenta es revisar /var/spool/mail de la cuenta root, cuando se envia spam es a muchas cuentas que no existen entonces se produce rebote y este cae en el mailbox de root. Revisa tambien la configuracion de tu apache, a lo mejor permite Indexes.
Espero te ayude en algo.

Gracias por la info manowar,

mira este servidor es un centos 5 y no tendrá mucho de haberse levantado unos 2 o 3 meses. Configuré el sendmail como lo indican lso manuales de AL para sendmail y con los filtros de spam que ahi se mencionan; también verifiqué un problema que tuve anteriormente por un open proxy que ya esta solucionado. Antes cuando estaba el problemita este del open proxy estuve recibiendo en el reporte de logwatch hacia la cuenta de root intentos de envío de correo aunque no me regresaba algo como "mail delivery subsystem failed" y el contenido del mail enviado sino que un reporte de Rejected asi como un informe en el mismo segmento de sendmail del logwatch informandome que eran intentos de "Known Spammers" y que habian sido rechazados...bien si no estoy mal estos reportes de Rejected que me dice logwatch es porque los rechazó el Sendmail debido a la configuración siguiendo los manuales de AL. En los reportes actuales ya no hay informes de estos de sendmail. Lo que si es que he estado estos que menciono antes. Ya eliminé un par de carpetas a las que hace referencia las lineas mencionadas arriba.

Ahora en cuanto a lo que me dices de los indexes, que debo revisar en apache? y sabes de algún sitio que tenga mas información al respecto de lo que me mencionas?

gracias de antemano.

---

Eeeh, me pareció ver un lindo pinguino....jejeje...

Aqui en los manuales de configuracion basica de apache tienes lo siguiente, sino el manual oficial de apache te despera mas.

Lo que dice el manual de AL
Alias /pub /var/ftp/pub
<Directory "/var/ftp/pub">
Options Indexes Includes FollowSymLinks
AllowOverride all
</Directory>

El parámetro Indexes indica que se deberá mostrar el contenido del directorio. El parámetro FollowSymLinks posibilita poder colocar enlaces simbólicos dentro del directorio los cuales se seguirán. El parámetro Includes especifica que se permite la utilización de los SSI (Server Side Includes) que posibilitan utilizar funciones como autenticación. El parámetro AllowOverride all posibilita utilizar archivos .htaccess.

Reinicie o recargue Apache y acceda hacia http://127.0.0.1/pub/ con cualquier navegador de red y visualice el resultado.

Por ejemlo si tienes tu sitio en /var/www/html/tusitio

y dentro de tu sitio tienes
dir1, dir2, etc.
Cada uno tendra su index.html o algun index entendible para un browser.
Si lo dejas asi alguien solo necesitrara quitar el nombre del archivo o dir en el que se encuentra y vera el contenido de tu sitio como si fuera un directorio como por ejemplo cuando vez el directorio con los contenidos de AL.

Espero que te quede claro y ten en cuenta que hay herramientas o codigo que si te suben es capaz de mostrar los permisos de todo tu server incluso lo de root. Basta con http://tusitio/codigo.php por ejemplo y tu server estara desnudo y tal vez hasta tus respaldos podrian estar en la misma situacion. Tal vez deberiamos aqui en AL comentar mas sobre estas situacion de esa manera nos abreviaramos mucho trabajo a la hora de buscar la aguja en el pajar.

Saludos.