Dúvida básica....

pes
(usa Debian)

Enviado em 20/10/2009 - 01:48h

Boa noite pessoas.
Gostaria que alguém me tirasse uma dúvida, que suponho ser simples.

Tenho minha rede funcionando certinho. O ambiente todo é controlado por um proxy transparente (squid).
Durante a noite (madrugada como agora por exemplo) eu normalmente acesso o meu servidor para dar aquela geral, acertar detalhes e etc. e começei a reparar em um pequeno detalhes que não sei o que é.
Qdo o serviço do squid está startado, o access.log fica gerando a noite inteira coisas do seguinte tipo:

1255842856.902 790 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.11:443 - DIRECT/205.188.251.11 -
1255842856.991 827 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.11:443 - DIRECT/205.188.251.11 -
1255842858.783 882 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.16:443 - DIRECT/205.188.251.16 -
1255842860.424 798 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.21:443 - DIRECT/205.188.251.21 -
1255842860.531 867 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.21:443 - DIRECT/205.188.251.21 -
1255842861.631 757 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.16:443 - DIRECT/205.188.251.16 -
1255842862.151 854 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.26:443 - DIRECT/205.188.251.26 -
1255842862.152 825 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.26:443 - DIRECT/205.188.251.26 -
1255842863.791 819 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.31:443 - DIRECT/205.188.251.31 -
1255842863.831 825 58.248.46.20 TCP_MISS/200 82 CONNECT 205.188.251.31:443 - DIRECT/205.188.251.31 -

Porém, quando eu derrubo o serviço do squid, isso para. (óbvio).
Minha dúvida é a seguinte: Alguém tem idéia do que seja isso? Vírus em alguma máquina?
Nessa minha rede tenho um win2003 server rodando que é a única (com excessão do proxy) máquina que fica ligada durante a noite.

Aguardo ansiosamente por respostas para cessar minha curiosidade. xD

[]'s

meinhardt_jgbr
(usa Debian)

Enviado em 20/10/2009 - 12:07h

Não sei se é o seu caso ou melhor o caso da sua rede, porém quando se usa IP dinamico, o sistema gera uma renovação dos IPs de tempos em tempos, para aquelas máquinas que estiverem ligadas, mesmo sem esterem sendo usadas. Talvez, esta seja a razão da geração do das entradas no arquivo de log, mesmo em horário de pouco uso.

rs.edilson
(usa Ubuntu)

Enviado em 21/10/2009 - 15:48h

Boa Tarde

Verifiquei a origem deste IP 58.248.46.20 e aponta para a organização:
CNC Group Guangdong province network na China.
Para consultar ips externos você pode usar o site:
http://whatismyipaddress.com

Minha dica é:

Primeiro verifique se esta não é a origem de atualização de algum anti-vírus, ou outro software que está instalado na sua rede. Se não for, desconfie de vírus.

Espero ter sido útil.

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 16:26h

Coloquei no google

205.188.251.1
205.188.251.6
205.188.251.11
205.188.251.16
205.188.251.21
205.188.251.26
205.188.251.31
205.188.251.36
205.188.251.43

estes servidores são o do serviço do AOL Mensseger ...


Se não tiver nem um AOL IM instalado, então toma cuidado, pois o server dele também é muito usado por programas cracks e redes zumbis para receber comandos...

pes
(usa Debian)

Enviado em 21/10/2009 - 22:29h

Olá meus amigos.
Obrigado pelas respostas, mas tenho algumas respostas!
xD

À resposta do amigo rs.edilson -> existe sim alguns anti-virus instalados nas máquinas (panda e avira), mas ele tem algum tipo de atividade mesmo com TODAS as máquinas desligadas? Pois este teste estava sendo feito durante a madrugada.

À resposta do amigo gesousa -> AOL IM tem instalado em uma máquina, porém tb estava desligada durante o teste.

To desconfiando seriamente de vírus mesmo viu.

Os relatórios estão me forçando a chegar nessa conclusão!

[]'s e continuo esperando mais uma luz no fim do túnel da comunidade VOL! =)

pes
(usa Debian)

Enviado em 21/10/2009 - 22:38h

Agora começaram a aparecer os seguintes endereços

1256175394.352 579 88.80.7.248 TCP_MISS/200 1409 POST http://spam-chaos.com/pp/set-cookie.php?strGet=get8763 - DIRECT/88.80.7.248 text/html
1256175394.352 579 88.80.7.248 TCP_MISS/200 1409 POST http://spam-chaos.com/pp/set-cookie.php?strGet=get8763 - DIRECT/88.80.7.248 text/html
1256148756.684 329 91.212.127.100 TCP_MISS/200 1576 POST http://cpanel.sslpayments.com/set-cookie.php?strGet=get2972 - DIRECT/69.147.231.99 text/html
1256148955.505 591 91.212.127.100 TCP_MISS/200 1541 POST http://cpanel.sslpayments.com/set-cookie.php?strGet=get9683 - DIRECT/195.42.102.24 text/html


Será que eu to certo mesmo?

gesousa
(usa Ubuntu)

Enviado em 21/10/2009 - 22:57h

Se vc entrar pelo ip que esta aparecendo ... indica o site de teste do apache do fedora e centos ...


É Isto que ta aparecendo:

This page is used to test the proper operation of the Apache HTTP server after it has been installed. If you can read this page, it means that the web server installed at this site is working properly, but has not yet been configured.

rs.edilson
(usa Ubuntu)

Enviado em 22/10/2009 - 16:17h

Se todas as máquinas da rede estão desligadas e o tráfego continua sendo reportado, sugiro uma análise com outra ferramenta.
Você pode por exemplo analisar o tráfego que passa pelo seu switch aonde está o gateway da rede. Você pode espelhar a porta que vai para o firewall e assim usar um destes milhares de analisadores de tráfego que tem por aí a fora, tipo IP Trafic Monitor, ou se for um Hub, mem precisa espelhamento.
A vantagem deste teste é que estes analizadores, trabalham em um nível mais baixo que o squid, sobre a camanda de transporte.
Então até mesmo com o servidor desligado, você pode verificar se o tráfego é só de fora pra dentro, ou se é de algum outro servidor que está na sua rede, ou mesmo de algum outro equipamento, Switch, firewall, gateway, Impressora de rede...

Abraço