Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

pablozanata
(usa Debian)

Enviado em 19/10/2015 - 11:22h

Bom dia galera,
Gostaria de solicitar a ajuda de vocês para desvendar um mistério que está acontecendo com meus relatórios do SARG.

Eu tenho um servidor Debian que contém squid, iptables, sarg, dhcp, samba e apache e na semana passada eu percebi no relatório do sarg que estão aparecendo alguns IP's muito estranhos:
-114.102.142.167
-153.36.24.114
-180.97.238.142
-180.97.238.164
-180.97.238.160

São só alguns exemplos, o problema é que eu não sei como eles aparecem lá ou de onde eles vem. Será que alguém pode me ajudar?

fpires
(usa Debian)

Enviado em 19/10/2015 - 13:07h

Provavelmente seu proxy está aberto para a internet (open proxy) ...

Giovanni_Menezes
(usa Devuan)

Enviado em 19/10/2015 - 13:14h

O proxy esta funcionando em modo de transparência?

Partindo do principio que não foi você que fez o acesso, deu para imaginar em relação ao caso é que alguma conexão foi estabelecida, foi redirecionada pelo iptables para a porta do squid que registro no log.

obs: veja se você esta interpretando corretamente o log, as paginas de internet costumam ter ligações externas.

114.102.142.167 ip chines
153.36.24.114 ip chines
180.97.238.142 ip chines
180.97.238.164 ip chines
180.97.238.160 ip chines

Todos os ips são de origem chinesa segundo o ip location, se não for algum plugin no navegador ou outra aplicação instalada fazendo acesso, você pode estar sendo vitima de algum ataque.

Reinicie a maquina e não faça nenhum acesso, digite no terminal netstat -n -at algumas vezes e veja se alguma tentativa de conexão vai ser estabelecida, de uma olhada nos logs do iptables, ta estranho isso ai.

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 08:39h

Neste caso como eu faço para fechar?

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 08:41h

Vou programar a parada para realizar este procedimento, tenho mais de 50 usuários na rede então não posso reiniciar a qualquer momento, assim que eu realizar o teste eu informo o resultado aqui.

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 08:57h

Analisando os log do SQUID, eu identifiquei a seguinte conexão:

1445339204.241 104612 180.97.193.92 TCP_MISS/200 15545 CONNECT www.paypal.com:443 - DIRECT/23.216.194.41

O mesmo acontece para outros IP's, o que eu posso fazer para fechar essa brecha ou encontrar a aplicação que está realizando estas conexões?

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 10:59h

A "regra padrão" do meu iptables está assim:

$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

Será que isso tem alguma influência? Eu fiz um teste de alterar para DROP mas não consegui mais acessar via putty e bloqueou a navegação de todos os usuários.

Também vi que no meu squid estava permitido o acesso HTTPS:

acl https port 443
http_access allow https

E eu mudei para:
acl https port 443
http_access deny https

Só estou com medo de que bloqueie o acesso aos bancos.

fpires
(usa Debian)

Enviado em 20/10/2015 - 12:45h

Cara, parece que você não tem muito conhecimento na área. Se for esse o caso, eu sugiro que você veja alguém para rever seu ambiente, principalmente a parte de FW/Proxy.

Giovanni_Menezes
(usa Devuan)

Enviado em 20/10/2015 - 13:42h

Parece que falta um pouco de bagagem técnica ainda para você, faça como o fpires disse, peça para alguém com mais experiencia fazer uma pequena auditoria na rede que você monto.

Já adianto que vai ter que mudar essa politica padrão no firewall e adicionar algumas regrinhas básicas de segurança.

Para ajudar a contornar temporariamente a situação, você pode adicionar as seguintes linhas no seu squid:

# para bloquear os sites conforme a url, digite alguns nomes de urls obs: não digite nada como ".com" pois vai bloquear tudo

acl bloqueie url_regex -i paypal sexo pornografia

# para bloquear os ips estranhos, é trabalhoso e não há garantia de resultados, já que outras conexões podem ser realizadas
assim que outra é fexada, tem que saber o que realmente esta acontecendo, o ideal é bloquear isso via iptables.

acl bloqsiteip dst "/etc/squid3/adm/bloqip " ( no /etc/squid3.adm/bloqip, onde bloqip é um arquivo de texto com os ips, você pode usar outro diretorio, basta criar e salvar no bloco de notas os ips e apontar no endereço em questão)

Bloqueando o acesso, lembrese que essa regra tem que ir antes das outras que liberam acesso, vai ficar assim:

acl bloqueie url_regex -i paypal sexo pornografia
acl bloqsiteip dst "/etc/squid3/adm/bloqip "
http_access deny bloqueie
http_access deny bloqsiteip

Voltando ainda sobre os ips estranhos, veja se não é o caso de ser alvo de algum scanner chines, mais detalhes sobre isso aqui:
http://www.dicas-l.com.br/arquivo/bloqueio_de_acesso_de_computadores_chineses.php

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 13:52h

Eu estou com essas dúvidas pq não foi eu que montei essa rede, eu estou na empresa a 1 ano e agora que começaram a aparecer estes ips estranhos na rede.

Giovanni_Menezes
(usa Devuan)

Enviado em 20/10/2015 - 14:03h

Se não foi você que monto, fica a pergunta, te deixaram responsável pela administração? se não, chame o responsável pela rede e deixe essa bucha na mão dele, porque pelo que parece ele fez um servicinho bem porco e é responsavel caso algo mais grave aconteça. se isso não for possível e você tem que resolver o pepino, tem dois jeitos

Aprender o basico sobre ipbtales e squid e bloquear essas entradas como solução a curto prazo e chamar um técnico com mais experiencia para rever a rede, ou

Chamar logo alguém com mais experiencia para refazer o serviço.

pablozanata
(usa Debian)

Enviado em 20/10/2015 - 14:11h

É exatamente isso, o rapaz que fez a rede saiu da empresa e eu entrei no lugar dele, só tem eu aqui pra administrar a rede.
Eu conheço muito pouco de linux mas vou ter q resolver isso sozinho, acho que não vão querer chamar uma outra pessoa pra ajudar.

Vou procurar algum tópico sobre a configuração de iptables e squid e ver o que eu consigo fazer.

Obrigado pela ajuda.