Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

1. Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna

(usa Ubuntu)

Enviado em 07/12/2017 - 11:38h

Olá! Tenho um servidor proxy rodando o Squid 3.5.12
Notei um comportamento extranho vindo do própio servidor.
Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

Analisando o relatório do Sarg eu tenho:

Site Acessado Usuário
37 178.32.180.206:80 199.101.185.182
38 178.63.247.2:80 199.101.185.182
39 18.181.0.46:80 199.101.185.182
40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
46 182.22.12.120:25 124.110.81.16 36.2.125.29
47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
60 183.79.16.120:25 118.243.89.35 124.110.81.16
61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
76 %1Bl$ 45.76.190.235
77 %1D 45.76.190.235
78 2 45.76.190.235
79 203.138.180.112:25 124.110.3.225
80 203.138.180.240:25 124.110.3.225
81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
82 204.79.197.229:80 116.102.80.21
83 206.214.211.166:80 91.186.8.91
84 208.70.245.28:80 73.243.237.82
85 208.79.237.176:80 91.186.8.91
86 209.235.125.193:80 199.101.185.182

Isso apenas parte do log!

De onde podem estar vindo essas requisições? Pode ser um ataque?

Já agradeço a todos!


  


2. MELHOR RESPOSTA

Leandro Silva
LSSilva

(usa Outra)

Enviado em 07/12/2017 - 19:48h

JhonatanSantAna escreveu:

LSSilva escreveu:

Ué, não tem porquê isso acontecer...
Vamos fazer melhor então.
Vamos supor que sua placa de internet é eth1
Então tente:
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

Lembrando que tem que ajustar de acordo com sua rede.
Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



Agora Sim!

O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
Mas confesso que nao sei o que aconteceu

Rede local:
interface enp5s0
range 10.1.0.0/24

Rede externa:
interface enp3s0
range 177.12.176.0/12

Porta do squid: 3128


Aconteceu que qualquer PC na internet poderia usar o seu server como proxy, apesar de provavelmente você ter evitado no squid.conf. A sua porta de proxy estava acessível externamente. Então era colocar seu IP e porta e estavam tentando utilizar. Aí você restringiu à apenas sua rede interna, o que eliminou o tráfego indesejável.


3. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

Leandro Silva
LSSilva

(usa Outra)

Enviado em 07/12/2017 - 11:47h

JhonatanSantAna escreveu:

Olá! Tenho um servidor proxy rodando o Squid 3.5.12
Notei um comportamento extranho vindo do própio servidor.
Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

Analisando o relatório do Sarg eu tenho:

Site Acessado Usuário
37 178.32.180.206:80 199.101.185.182
38 178.63.247.2:80 199.101.185.182
39 18.181.0.46:80 199.101.185.182
40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
46 182.22.12.120:25 124.110.81.16 36.2.125.29
47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
60 183.79.16.120:25 118.243.89.35 124.110.81.16
61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
76 %1Bl$ 45.76.190.235
77 %1D 45.76.190.235
78 2 45.76.190.235
79 203.138.180.112:25 124.110.3.225
80 203.138.180.240:25 124.110.3.225
81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
82 204.79.197.229:80 116.102.80.21
83 206.214.211.166:80 91.186.8.91
84 208.70.245.28:80 73.243.237.82
85 208.79.237.176:80 91.186.8.91
86 209.235.125.193:80 199.101.185.182

Isso apenas parte do log!

De onde podem estar vindo essas requisições? Pode ser um ataque?

Já agradeço a todos!



Seu proxy não está aberto para redes externas?
Teria como postar seu script de firewall?



4. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna

(usa Ubuntu)

Enviado em 07/12/2017 - 11:54h

LSSilva escreveu:

Seu proxy não está aberto para redes externas?
Teria como postar seu script de firewall?


modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

Ele navega externamente. mas sozinho?


5. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

Leandro Silva
LSSilva

(usa Outra)

Enviado em 07/12/2017 - 12:38h

JhonatanSantAna escreveu:

LSSilva escreveu:

Seu proxy não está aberto para redes externas?
Teria como postar seu script de firewall?


modprobe ip_tables
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

Ele navega externamente. mas sozinho?


Então, acontece o seguinte...
Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP

Isso deve evitar acessos externos no proxy.


6. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna

(usa Ubuntu)

Enviado em 07/12/2017 - 13:05h

LSSilva escreveu:

Então, acontece o seguinte...
Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP

Isso deve evitar acessos externos no proxy.


Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

Já formatei uma nova máquina e o problema continuou =/


7. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

Leandro Silva
LSSilva

(usa Outra)

Enviado em 07/12/2017 - 14:02h

JhonatanSantAna escreveu:

LSSilva escreveu:

Então, acontece o seguinte...
Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP

Isso deve evitar acessos externos no proxy.


Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

Já formatei uma nova máquina e o problema continuou =/


Ué, não tem porquê isso acontecer...
Vamos fazer melhor então.
Vamos supor que sua placa de internet é eth1
Então tente:
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

Lembrando que tem que ajustar de acordo com sua rede.
Quais são suas placas de rede e a porta do squid e o range de IP na rede local?


8. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna

(usa Ubuntu)

Enviado em 07/12/2017 - 14:20h

LSSilva escreveu:

Ué, não tem porquê isso acontecer...
Vamos fazer melhor então.
Vamos supor que sua placa de internet é eth1
Então tente:
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

Lembrando que tem que ajustar de acordo com sua rede.
Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



Agora Sim!

O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
Mas confesso que nao sei o que aconteceu

Rede local:
interface enp5s0
range 10.1.0.0/24

Rede externa:
interface enp3s0
range 177.12.176.0/12

Porta do squid: 3128






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts