Wenn Apache falsch konfiguriert und wird, kann er für sogenannte "Cross-Site-Tracing" Attacken verwendet.

Anzeigen in den Logfiles

Folgende drei Einträge erscheinen im Accesslogfile von Apache als Erstes wenn ich das Logfile lösche und neu boote:

QUOTE

24.127.144.214 - - [29/Mar/2004:15:21:50 +0200] "GET www.proxycity.com/proxy.php HTTP/1.1" 200 149 66.165.3.214 - - [29/Mar/2004:15:23:24 +0200] "GET e7.member.yahoo.com/config/login?.r...sswd=1235678910 HTTP/1.0" 502 945 66.165.3.214 - - [29/Mar/2004:15:24:11 +0200] "GET e8.member.yahoo.com/config/login?.r...asswd=123567890 HTTP/1.0" 502 935

nun habe ich dauernd solche Zugriffe:

QUOTE

P/1.0" 999 1195 68.185.209.155 - - [30/Mar/2004:08:01:53 +0200] "GET e6.member.ukl.yahoo.com/config/logi...54&passwd=12345 HTTP/1.0" 999 1195 68.185.209.155 - - [30/Mar/2004:08:08:07 +0200] "GET e2.edit.cnb.yahoo.com/config/login?...es&passwd=12345 HTTP/1.0" 200 2520 68.185.209.155 - - [30/Mar/2004:08:20:17 +0200] "GET e2.edit.cnb.yahoo.com/config/login?...6&passwd=123456 HTTP/1.0" 200 2448

Da die Anfragen deinen Server von extern erreichen, ist auch nicht anzunehmen, dass lokal etwas gecrackt wurde.

Nessus gibt zu dem Problem folgende Lösung an:

www.kb.cert.org/vuls/id/867593

Ich würde das mal umsetzen, dann werden zwar die Anfragen vermutlich immer noch kommen, dein Apache wird mit den neuen Regeln aber nichts mehr unternehmen.

Lösung von Roger Bobst