Apache e redirect su 127.0.0.1

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Apache e redirect su 127.0.0.1

Messaggioda Zapotech » sab feb 21, 2009 23:27

Ciao!
vorrei chiedervi ...preziosi lumi sulla natura di questi messaggi che ho trovato nei log di Apache...: :-k

in "/var/log/httpd/error.log"

Codice: Seleziona tutto

[Sat Feb 21 22:50:22 2009] [error] [client 127.0.0.1] File does not exist: /srv/httpd/htdocs/collect.jsp, referer: http://grillorama.beppegrillo.it/catalog/

in "/var/log/httpd/access.log"

Codice: Seleziona tutto

127.0.0.1 - - [21/Feb/2009:22:50:22 +0100] "GET /collect.jsp?p=1&mid=MioIndirizzoIP:1235243809007&fv=false&ti=I%20video%20degli%20spettacoli%20di%20Beppe%20Grillo&si=www.beppegrillo.it&sh=800&sw=1280&sc=24&lc=http%3A//grillorama.beppegrillo.it/catalog/&ref=http%3A//www.beppegrillo.it//index.html&t0=1235253023509&cld=Sat%20Feb%2021%202009%2022%3A50%3A22%20GMT+0100%20%28CET%29 HTTP/1.1" 404 209

Con Apache avviato, stavo navigando sul blog di Beppe Grillo, quando cliccando su un link sono comparsi questi messaggi.
(....non credo sia unicamente il blog di Beppe...ma per pigrizia :D non ho fatto altri test su altri siti...!)

In pratica ... (se interpreto correttamente), è come se venissi reindirizzato, su localhost, al mio WebServer ed il file "error.log" mi dice che, giustamente, il file "collect.jsp" non esiste all'indirizzo "/srv/httpd/htdocs/".

I messaggi non appaiono più se, in httpd.conf, commento "Listen 127.0.0.1:80" lasciando "Listen 192.168.0.5:80"
(in modo tale che Apache sia raggiungibile su rete locale e dalla macchina locale)
....ma non credo sia questo, ovviamente, il giusto modo di affrontare il problema!

Grazie 1000 e Ciao!


PS: in "access.log." al posto di MioIndirizzoIP compariva il mio indirizzo IP.

Avatar utente
conraid
Staff
Staff
Messaggi: 12690
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » dom feb 22, 2009 8:09

A me sembra qualche software di adblocking
Infatti a volte si fa comparire al posto di IP presunti "pubblicitari" proprio 127.0.0.1, che nel tuo caso corrisponde ad un server che risponde.
Dovresti sapere cosa ha installato nel sistema e da dove precisamente viene quell'errore, nella pagina che compare nel referer non vedo nessuna richiesta per colletc.jsp, ma magari è qualche pubblicità esterna non sempre uguale

Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » dom feb 22, 2009 13:33

Ciao Conraid, grazie per la risposta! :)

Riepilogando:
Il server remoto, attraverso un software di adv-blocking, instrada una richiesta all'indirizzo:porta "localhost:80", invece che ad indirizzi IP "pubblicitari".
Nel mio caso, con il WebServer Apache attivato, la mia macchina essendo in ascolto su "localhost:80", risponde.

Ho notato, inoltre, che questi messaggi non compaiono più se, in "httpd.conf", cambio la porta da 80 a, ....ad esempio, 8080.
Ne dedurrei quindi che l'instradamento viene fatto esclusivamente verso la porta 80.

La cosa a cui maggiormente tengo è se, secondo te/voi, questa cosa nasconde un più grave problema di sicurezza o, al contrario, non mi deve preoccupare....! :roll:

Ciao!

Avatar utente
conraid
Staff
Staff
Messaggi: 12690
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » dom feb 22, 2009 13:46

ma server remoto in che senso? di dns?
se vuoi un consiglio, cambialo, ed installa qualcosa in locale

il fatto che risponda solo sulla 80 è normale, e problemi di sicurezza non ne vedo.
Ma non mi sembra una scelta giusta quella del server remoto, il tutto imho

Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » dom feb 22, 2009 16:45

ma server remoto in che senso? di dns?

Scusa, ...credo di essermi espresso male,... non intendevo riferirmi ai server dns (utilizzo "bind" ;) configurato come da tuo wiki...! :thumbright: )

Per server remoto intendo, semplicemente, il server web che ho contattato navigando con il mio browser (nell'esempio: http://www.beppegrillo.it)

alla luce di quest chiarimento ti chiedo se possiamo considerare corretto il "riepilogo" che ho fatto nel post precedente!



Grazie e Ciao!

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun giu 27, 2005 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 9:44

Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.
Per vedere se é così puoi, provare a disattivare tutte le estensioni ad es. di Firefox e controllare attraverso il log di apache se il problema si presenta ancora...
Sembra quindi che il problema sia il browser e quindi sarebbe bene sapere cosa utilizzi e che estensioni hai installato ...
... Ciao :-)

Avatar utente
conraid
Staff
Staff
Messaggi: 12690
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 9:49

Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?
O è un errore abbastanza preoccupante per un sito con quel numero di accessi, o il problema è altrove.
Puoi cercare il codice incriminato?

Per il resto ti ha risposto Luci0

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun giu 27, 2005 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 10:05

Ho provato adesso con Firefox e l' estensione Adblock Plus ma questa estensione non ridireziona proprio niente ne da Beppe ne da Tiscali ... e credo che questo sia il comportamento corretto.
Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...
Puoi monitorare gli effetti della "Navigazione" sui log aprendo due console con

Codice: Seleziona tutto

tail -f /var/log/httpd/error_log
tail -f /var/log/httpd/access_log


A proposito buon divertimento ... :badgrin:

Avatar utente
danix
Staff
Staff
Messaggi: 3287
Iscritto il: ven ott 27, 2006 19:32
Nome Cognome: Danilo M.
Slackware: 64 14.1
Kernel: 4.4.0
Desktop: kde4
Località: Siderno (RC)
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda danix » lun feb 23, 2009 10:34

a me succede la stessa cosa ma io ho /etc/hosts con dentro una tonnellata di indirizzi "pubblicitari" redirezionati su 127.0.0.1...
danix

myself ha scritto:non sono molto presente sul forum, e di ciò mi scuso con tutti

Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 12:35

Eccomi! Ciao a tutti! :)
Luci0 ha scritto:Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.

Utilizzo "Firefox" e come estensioni ho [NetCraft Toolbar], [dwhelper], [DownThemAll].
Ho disattivato le estensioni, ma i messaggi in "/var/log/httpd/access.log" e "/var/log/httpd/error.log" (con il "mio" Apache attivato sulla porta 80) continuano ad apparire.
Tali messaggi appaiono, inoltre, anche utilizzando "Seamonkey" e "Konqueror" ...quindi, purtroppo, non credo possa dipendere dal browser! :(

Luci0 ha scritto:Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...

Beh.....in effetti il mio "/etc/hosts" si riduce a:

Codice: Seleziona tutto

127.0.0.1               localhost
192.168.0.5           darkstar.mynet darkstar


conraid ha scritto:Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?

Forse perchè il Beppe è in vena di scherzi ;) .... ma, a quanto pare, solo con me! :D :D :D
conraid ha scritto:Puoi cercare il codice incriminato?


Come posso fare per cercare il codice incriminato? ...I messaggi che appaiono sono solo quelli che ho postato; inoltre il "syslog" ed il "messages" non riportano nulla

Per ora, comunque, ho attivato nuovamente Apache sulla porta 8080 (...e non 80).

Ciao! :) e :mille:

Avatar utente
conraid
Staff
Staff
Messaggi: 12690
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 12:49

Zapotech ha scritto:Come posso fare per cercare il codice incriminato?


guardi il sorgente della pagina quando ti capita una situazione simile cercando di capire da cosa è prodotto.
Perché se:
- non usi dns che fanno adblocking
- non usi software simili (da estensioni a software per iptables a file hosts)

ho provato anche io e mi da gli stessi messaggio. E' quel sito, o meglio, è opentracker, sarà un sito di statistiche boh

Avatar utente
conraid
Staff
Staff
Messaggi: 12690
Iscritto il: gio lug 14, 2005 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Località: Livorno
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda conraid » lun feb 23, 2009 12:59

Se guardi il sorgente trovi una chiamata a opentracker
h_t_t_p://server1.opentracker.net/?site=www.beppegrillo.it
guardando questa pagina (che mostra il codice) vedi delle richieste di collect.jsp
avranno fatto qualche errore o chissà come funziona

un motivo in più per stare lontano da questo sito e da beppegrillo

Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 14:40

Ciao Conraid! Grazie :)
Hai svelato l'arcano...stanando l' opentracker! \:D/ :thumbright:

Ho scaricato il file "http://grillorama.beppegrillo.it/catalog/index.php"
Ho aperto quel file con il browser e sono apparsi, di nuovo, i messaggi ..."incriminati" sui log di Apache!
Ho eliminato, dal file "index.php", la segg. sezione:

Codice: Seleziona tutto

<!-- OPENTRACKER HTML START -->
<script defer
src="http://server1.opentracker.net/?site=www.beppegrillo.it"></script>
<!-- OPENTRACKER HTML END -->

ed i messaggi "incriminati" non sono più apparsi!

Credo quindi, ma vi chiedo conferma, che non ci siano pericoli di sicurezza per Apache, quando
si verifica un redirect (...anche se non voluto...) di questo tipo.....

Ciao! :D

Avatar utente
Luci0
Staff
Staff
Messaggi: 3591
Iscritto il: lun giu 27, 2005 0:00
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce
Località: Forte dei Marmi
Contatta:

Re: Apache e redirect su 127.0.0.1

Messaggioda Luci0 » lun feb 23, 2009 15:22

Certo che se si scrive del codice ad hoc si potrebbe tentare un attacco ad un server http , anche se questo é dietro un firewall ...

EDIT:

P.S. con vedevo gli errori perché ero rimasto sul sito www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!

Avatar utente
Zapotech
Packager
Packager
Messaggi: 155
Iscritto il: gio set 07, 2006 22:58
Slackware: -current
Kernel: 2.6.32.5-smp
Desktop: kde 4.3.4
Località: Roma

Re: Apache e redirect su 127.0.0.1

Messaggioda Zapotech » lun feb 23, 2009 17:38

Luci0 ha scritto:P.S. con vedevo gli errori perché ero rimasto sul sito http://www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!


...Sì, infatti succede solo in corrispondenza di quel link, all'interno di quel dominio....!

Mi sembrava (e mi sembra....) una cosa alquanto ..."inquietante" :? , il fatto di essere ..."vittima" di un redirect verso il mio WebServer Apache, considerando che trattasi di redirect non voluto (quindi niente "/etc/hosts", no estensioni adv-blocking, ....)!

Inizialmente pensavo a un qualcosa di errato o similare relativamente alla mia configurazione di Apache ma,
il fatto che anche tu e Conraid abbiate verificato sul campo il ...."fenomeno", mi toglie questo dubbio. :)

Grazie ai vostri interventi e all' "OpenTracker" stanato, oggi ...so qualcosa più di ieri! :D

Ciao!


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite