<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Gllug] What's going on?</TITLE>
</HEAD>
<BODY>
<BR>
<BR>
<BR>

<P><FONT SIZE=2>On Tue, 2002-11-19 at 12:04, Jason Clifford wrote:</FONT>
<BR><FONT SIZE=2>> > An entry like this has appeared twice in my apache server log in the last 24</FONT>
<BR><FONT SIZE=2>> > hours:</FONT>
<BR><FONT SIZE=2>> > pool-141-150-114-101.mad.east.verizon.net - - [18/Nov/2002:08:26:41 +0000]</FONT>
<BR><FONT SIZE=2>> > "CONNECT mx00.earthlink.net:25 HTTP/1.0" 405 302 "-" "-"</FONT>
<BR><FONT SIZE=2>> > </FONT>
<BR><FONT SIZE=2>> > Earthlink say it is nothing to be concerned about (no reply from verizon) -</FONT>
<BR><FONT SIZE=2>> > but it looks very odd to me - why is someone trying to get our web server to</FONT>
<BR><FONT SIZE=2>> > attach themselves to their mail server?</FONT>
<BR><FONT SIZE=2>> Indeed. This is a favoured tactic of many spammers.</FONT>
</P>

<P><FONT SIZE=2>yup spammers have moved on to hitting open CONNECT and SOCKS proxies in</FONT>
<BR><FONT SIZE=2>preference to open smtp relays and they're harder to pin down and get</FONT>
<BR><FONT SIZE=2>decent logging out of to determine the source of the spam.</FONT>
</P>

<P><FONT SIZE=2>[...]</FONT>
<BR><FONT SIZE=2>> I do wonder why you are running a public web proxy. Do you really need to?</FONT>
<BR><FONT SIZE=2>> If not set up your acls properly.</FONT>
</P>

<P><FONT SIZE=2>It's probably more a case of a default apache install with mod_proxy</FONT>
<BR><FONT SIZE=2>included and (partially?) configured.  Certainly the response indicates</FONT>
<BR><FONT SIZE=2>that it's been rejected properly, however it is going to be worth</FONT>
<BR><FONT SIZE=2>removing the proxy functionality if it's not needed as certain other</FONT>
<BR><FONT SIZE=2>'less savoury' types will use open web proxies for scanning for other</FONT>
<BR><FONT SIZE=2>security holes or trying to download large amounts of copyright</FONT>
<BR><FONT SIZE=2>infringing material or scamming off the likes of porn sites.  All using</FONT>
<BR><FONT SIZE=2>someone else's bandwidth (nice people :/)</FONT>
</P>
<BR>

<P><FONT SIZE=2>It is a default install -  though with all appropriate paches (as available on rhn) applied. Mod_proxy is not loaded.</FONT>
</P>

<P><FONT SIZE=2>How can you tell (from this log) that we are running a public proxy (I am not aware that we are - but I am not sysadmin here, simply running this server as a test bed for other projects).</FONT></P>

</BODY>
</HTML>