Repository 32bit  Forum
Repository 64bit  Wiki

Apache e redirect su 127.0.0.1

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Apache e redirect su 127.0.0.1

Messaggioda Zapotech » sab feb 21, 2009 23:27

Ciao!
vorrei chiedervi ...preziosi lumi sulla natura di questi messaggi che ho trovato nei log di Apache...: :-k

in "/var/log/httpd/error.log"
Codice: Seleziona tutto
[Sat Feb 21 22:50:22 2009] [error] [client 127.0.0.1] File does not exist: /srv/httpd/htdocs/collect.jsp, referer: http://grillorama.beppegrillo.it/catalog/

in "/var/log/httpd/access.log"
Codice: Seleziona tutto
127.0.0.1 - - [21/Feb/2009:22:50:22 +0100] "GET /collect.jsp?p=1&mid=MioIndirizzoIP:1235243809007&fv=false&ti=I%20video%20degli%20spettacoli%20di%20Beppe%20Grillo&si=www.beppegrillo.it&sh=800&sw=1280&sc=24&lc=http%3A//grillorama.beppegrillo.it/catalog/&ref=http%3A//www.beppegrillo.it//index.html&t0=1235253023509&cld=Sat%20Feb%2021%202009%2022%3A50%3A22%20GMT+0100%20%28CET%29 HTTP/1.1" 404 209

Con Apache avviato, stavo navigando sul blog di Beppe Grillo, quando cliccando su un link sono comparsi questi messaggi.
(....non credo sia unicamente il blog di Beppe...ma per pigrizia :D non ho fatto altri test su altri siti...!)

In pratica ... (se interpreto correttamente), è come se venissi reindirizzato, su localhost, al mio WebServer ed il file "error.log" mi dice che, giustamente, il file "collect.jsp" non esiste all'indirizzo "/srv/httpd/htdocs/".

I messaggi non appaiono più se, in httpd.conf, commento "Listen 127.0.0.1:80" lasciando "Listen 192.168.0.5:80"
(in modo tale che Apache sia raggiungibile su rete locale e dalla macchina locale)
....ma non credo sia questo, ovviamente, il giusto modo di affrontare il problema!

Grazie 1000 e Ciao!


PS: in "access.log." al posto di MioIndirizzoIP compariva il mio indirizzo IP.
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » dom feb 22, 2009 8:09

A me sembra qualche software di adblocking
Infatti a volte si fa comparire al posto di IP presunti "pubblicitari" proprio 127.0.0.1, che nel tuo caso corrisponde ad un server che risponde.
Dovresti sapere cosa ha installato nel sistema e da dove precisamente viene quell'errore, nella pagina che compare nel referer non vedo nessuna richiesta per colletc.jsp, ma magari è qualche pubblicità esterna non sempre uguale
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11987
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » dom feb 22, 2009 13:33

Ciao Conraid, grazie per la risposta! :)

Riepilogando:
Il server remoto, attraverso un software di adv-blocking, instrada una richiesta all'indirizzo:porta "localhost:80", invece che ad indirizzi IP "pubblicitari".
Nel mio caso, con il WebServer Apache attivato, la mia macchina essendo in ascolto su "localhost:80", risponde.

Ho notato, inoltre, che questi messaggi non compaiono più se, in "httpd.conf", cambio la porta da 80 a, ....ad esempio, 8080.
Ne dedurrei quindi che l'instradamento viene fatto esclusivamente verso la porta 80.

La cosa a cui maggiormente tengo è se, secondo te/voi, questa cosa nasconde un più grave problema di sicurezza o, al contrario, non mi deve preoccupare....! :roll:

Ciao!
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » dom feb 22, 2009 13:46

ma server remoto in che senso? di dns?
se vuoi un consiglio, cambialo, ed installa qualcosa in locale

il fatto che risponda solo sulla 80 è normale, e problemi di sicurezza non ne vedo.
Ma non mi sembra una scelta giusta quella del server remoto, il tutto imho
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11987
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » dom feb 22, 2009 16:45

ma server remoto in che senso? di dns?

Scusa, ...credo di essermi espresso male,... non intendevo riferirmi ai server dns (utilizzo "bind" ;) configurato come da tuo wiki...! :thumbright: )

Per server remoto intendo, semplicemente, il server web che ho contattato navigando con il mio browser (nell'esempio: http://www.beppegrillo.it)

alla luce di quest chiarimento ti chiedo se possiamo considerare corretto il "riepilogo" che ho fatto nel post precedente!



Grazie e Ciao!
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 9:44

Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.
Per vedere se é così puoi, provare a disattivare tutte le estensioni ad es. di Firefox e controllare attraverso il log di apache se il problema si presenta ancora...
Sembra quindi che il problema sia il browser e quindi sarebbe bene sapere cosa utilizzi e che estensioni hai installato ...
... Ciao :-)
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 9:49

Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?
O è un errore abbastanza preoccupante per un sito con quel numero di accessi, o il problema è altrove.
Puoi cercare il codice incriminato?

Per il resto ti ha risposto Luci0
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11987
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 10:05

Ho provato adesso con Firefox e l' estensione Adblock Plus ma questa estensione non ridireziona proprio niente ne da Beppe ne da Tiscali ... e credo che questo sia il comportamento corretto.
Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...
Puoi monitorare gli effetti della "Navigazione" sui log aprendo due console con
Codice: Seleziona tutto
tail -f /var/log/httpd/error_log
tail -f /var/log/httpd/access_log


A proposito buon divertimento ... :badgrin:
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Re: Apache e redirect su 127.0.0.1

Messaggioda danix » lun feb 23, 2009 10:34

a me succede la stessa cosa ma io ho /etc/hosts con dentro una tonnellata di indirizzi "pubblicitari" redirezionati su 127.0.0.1...
Avatar utente
danix
Staff
Staff
 
Messaggi: 3280
Iscritto il: ven ott 27, 2006 18:32
Località: Siderno (RC)
Nome Cognome: Danilo M.
Slackware: 64 14.0
Kernel: 3.2.29
Desktop: fluxbox

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 12:35

Eccomi! Ciao a tutti! :)
Luci0 ha scritto:Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.

Utilizzo "Firefox" e come estensioni ho [NetCraft Toolbar], [dwhelper], [DownThemAll].
Ho disattivato le estensioni, ma i messaggi in "/var/log/httpd/access.log" e "/var/log/httpd/error.log" (con il "mio" Apache attivato sulla porta 80) continuano ad apparire.
Tali messaggi appaiono, inoltre, anche utilizzando "Seamonkey" e "Konqueror" ...quindi, purtroppo, non credo possa dipendere dal browser! :(

Luci0 ha scritto:Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...

Beh.....in effetti il mio "/etc/hosts" si riduce a:
Codice: Seleziona tutto
127.0.0.1               localhost
192.168.0.5           darkstar.mynet darkstar


conraid ha scritto:Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?

Forse perchè il Beppe è in vena di scherzi ;) .... ma, a quanto pare, solo con me! :D :D :D
conraid ha scritto:Puoi cercare il codice incriminato?


Come posso fare per cercare il codice incriminato? ...I messaggi che appaiono sono solo quelli che ho postato; inoltre il "syslog" ed il "messages" non riportano nulla

Per ora, comunque, ho attivato nuovamente Apache sulla porta 8080 (...e non 80).

Ciao! :) e :mille:
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 12:49

Zapotech ha scritto:Come posso fare per cercare il codice incriminato?


guardi il sorgente della pagina quando ti capita una situazione simile cercando di capire da cosa è prodotto.
Perché se:
- non usi dns che fanno adblocking
- non usi software simili (da estensioni a software per iptables a file hosts)

ho provato anche io e mi da gli stessi messaggio. E' quel sito, o meglio, è opentracker, sarà un sito di statistiche boh
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11987
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 12:59

Se guardi il sorgente trovi una chiamata a opentracker
h_t_t_p://server1.opentracker.net/?site=www.beppegrillo.it
guardando questa pagina (che mostra il codice) vedi delle richieste di collect.jsp
avranno fatto qualche errore o chissà come funziona

un motivo in più per stare lontano da questo sito e da beppegrillo
Avatar utente
conraid
Staff
Staff
 
Messaggi: 11987
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 14:40

Ciao Conraid! Grazie :)
Hai svelato l'arcano...stanando l' opentracker! \:D/ :thumbright:

Ho scaricato il file "http://grillorama.beppegrillo.it/catalog/index.php"
Ho aperto quel file con il browser e sono apparsi, di nuovo, i messaggi ..."incriminati" sui log di Apache!
Ho eliminato, dal file "index.php", la segg. sezione:
Codice: Seleziona tutto
<!-- OPENTRACKER HTML START -->
<script defer
src="http://server1.opentracker.net/?site=www.beppegrillo.it"></script>
<!-- OPENTRACKER HTML END -->

ed i messaggi "incriminati" non sono più apparsi!

Credo quindi, ma vi chiedo conferma, che non ci siano pericoli di sicurezza per Apache, quando
si verifica un redirect (...anche se non voluto...) di questo tipo.....

Ciao! :D
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 15:22

Certo che se si scrive del codice ad hoc si potrebbe tentare un attacco ad un server http , anche se questo é dietro un firewall ...

EDIT:

P.S. con vedevo gli errori perché ero rimasto sul sito www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 17:38

Luci0 ha scritto:P.S. con vedevo gli errori perché ero rimasto sul sito http://www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!


...Sì, infatti succede solo in corrispondenza di quel link, all'interno di quel dominio....!

Mi sembrava (e mi sembra....) una cosa alquanto ..."inquietante" :? , il fatto di essere ..."vittima" di un redirect verso il mio WebServer Apache, considerando che trattasi di redirect non voluto (quindi niente "/etc/hosts", no estensioni adv-blocking, ....)!

Inizialmente pensavo a un qualcosa di errato o similare relativamente alla mia configurazione di Apache ma,
il fatto che anche tu e Conraid abbiate verificato sul campo il ...."fenomeno", mi toglie questo dubbio. :)

Grazie ai vostri interventi e all' "OpenTracker" stanato, oggi ...so qualcosa più di ieri! :D

Ciao!
Avatar utente
Zapotech
Packager
Packager
 
Messaggi: 155
Iscritto il: gio set 07, 2006 21:58
Località: Roma
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti