Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

1. Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 19/10/2015 - 11:22h

Bom dia galera,
Gostaria de solicitar a ajuda de vocês para desvendar um mistério que está acontecendo com meus relatórios do SARG.

Eu tenho um servidor Debian que contém squid, iptables, sarg, dhcp, samba e apache e na semana passada eu percebi no relatório do sarg que estão aparecendo alguns IP's muito estranhos:
-114.102.142.167
-153.36.24.114
-180.97.238.142
-180.97.238.164
-180.97.238.160

São só alguns exemplos, o problema é que eu não sei como eles aparecem lá ou de onde eles vem. Será que alguém pode me ajudar?


  


2. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Fabiano
fpires

(usa Debian)

Enviado em 19/10/2015 - 13:07h


Provavelmente seu proxy está aberto para a internet (open proxy) ...


3. Re: Relatório SARG mostrando IP

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 19/10/2015 - 13:14h

O proxy esta funcionando em modo de transparência?

Partindo do principio que não foi você que fez o acesso, deu para imaginar em relação ao caso é que alguma conexão foi estabelecida, foi redirecionada pelo iptables para a porta do squid que registro no log.

obs: veja se você esta interpretando corretamente o log, as paginas de internet costumam ter ligações externas.

114.102.142.167 ip chines
153.36.24.114 ip chines
180.97.238.142 ip chines
180.97.238.164 ip chines
180.97.238.160 ip chines

Todos os ips são de origem chinesa segundo o ip location, se não for algum plugin no navegador ou outra aplicação instalada fazendo acesso, você pode estar sendo vitima de algum ataque.

Reinicie a maquina e não faça nenhum acesso, digite no terminal netstat -n -at algumas vezes e veja se alguma tentativa de conexão vai ser estabelecida, de uma olhada nos logs do iptables, ta estranho isso ai.


4. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 08:39h

fpires escreveu:


Provavelmente seu proxy está aberto para a internet (open proxy) ...



Neste caso como eu faço para fechar?


5. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 08:41h

Giovanni_Menezes escreveu:

O proxy esta funcionando em modo de transparência?

Partindo do principio que não foi você que fez o acesso, deu para imaginar em relação ao caso é que alguma conexão foi estabelecida, foi redirecionada pelo iptables para a porta do squid que registro no log.

obs: veja se você esta interpretando corretamente o log, as paginas de internet costumam ter ligações externas.

114.102.142.167 ip chines
153.36.24.114 ip chines
180.97.238.142 ip chines
180.97.238.164 ip chines
180.97.238.160 ip chines

Todos os ips são de origem chinesa segundo o ip location, se não for algum plugin no navegador ou outra aplicação instalada fazendo acesso, você pode estar sendo vitima de algum ataque.

Reinicie a maquina e não faça nenhum acesso, digite no terminal netstat -n -at algumas vezes e veja se alguma tentativa de conexão vai ser estabelecida, de uma olhada nos logs do iptables, ta estranho isso ai.


Vou programar a parada para realizar este procedimento, tenho mais de 50 usuários na rede então não posso reiniciar a qualquer momento, assim que eu realizar o teste eu informo o resultado aqui.




6. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 08:57h

Analisando os log do SQUID, eu identifiquei a seguinte conexão:

1445339204.241 104612 180.97.193.92 TCP_MISS/200 15545 CONNECT www.paypal.com:443 - DIRECT/23.216.194.41

O mesmo acontece para outros IP's, o que eu posso fazer para fechar essa brecha ou encontrar a aplicação que está realizando estas conexões?


7. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 10:59h

A "regra padrão" do meu iptables está assim:

$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

Será que isso tem alguma influência? Eu fiz um teste de alterar para DROP mas não consegui mais acessar via putty e bloqueou a navegação de todos os usuários.

Também vi que no meu squid estava permitido o acesso HTTPS:

acl https port 443
http_access allow https

E eu mudei para:
acl https port 443
http_access deny https

Só estou com medo de que bloqueie o acesso aos bancos.


8. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Fabiano
fpires

(usa Debian)

Enviado em 20/10/2015 - 12:45h

Cara, parece que você não tem muito conhecimento na área. Se for esse o caso, eu sugiro que você veja alguém para rever seu ambiente, principalmente a parte de FW/Proxy.



9. Re: Relatório SARG mostrando IP

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 20/10/2015 - 13:42h

Parece que falta um pouco de bagagem técnica ainda para você, faça como o fpires disse, peça para alguém com mais experiencia fazer uma pequena auditoria na rede que você monto.

Já adianto que vai ter que mudar essa politica padrão no firewall e adicionar algumas regrinhas básicas de segurança.

Para ajudar a contornar temporariamente a situação, você pode adicionar as seguintes linhas no seu squid:

# para bloquear os sites conforme a url, digite alguns nomes de urls obs: não digite nada como ".com" pois vai bloquear tudo

acl bloqueie url_regex -i paypal sexo pornografia

# para bloquear os ips estranhos, é trabalhoso e não há garantia de resultados, já que outras conexões podem ser realizadas
assim que outra é fexada, tem que saber o que realmente esta acontecendo, o ideal é bloquear isso via iptables.

acl bloqsiteip dst "/etc/squid3/adm/bloqip " ( no /etc/squid3.adm/bloqip, onde bloqip é um arquivo de texto com os ips, você pode usar outro diretorio, basta criar e salvar no bloco de notas os ips e apontar no endereço em questão)

Bloqueando o acesso, lembrese que essa regra tem que ir antes das outras que liberam acesso, vai ficar assim:

acl bloqueie url_regex -i paypal sexo pornografia
acl bloqsiteip dst "/etc/squid3/adm/bloqip "
http_access deny bloqueie
http_access deny bloqsiteip

Voltando ainda sobre os ips estranhos, veja se não é o caso de ser alvo de algum scanner chines, mais detalhes sobre isso aqui:
http://www.dicas-l.com.br/arquivo/bloqueio_de_acesso_de_computadores_chineses.php




10. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 13:52h

Giovanni_Menezes escreveu:

Parece que falta um pouco de bagagem técnica ainda para você, faça como o fpires disse, peça para alguém com mais experiencia fazer uma pequena auditoria na rede que você monto.

Já adianto que vai ter que mudar essa politica padrão no firewall e adicionar algumas regrinhas básicas de segurança.

Para ajudar a contornar temporariamente a situação, você pode adicionar as seguintes linhas no seu squid:

# para bloquear os sites conforme a url, digite alguns nomes de urls obs: não digite nada como ".com" pois vai bloquear tudo

acl bloqueie url_regex -i paypal sexo pornografia

# para bloquear os ips estranhos, é trabalhoso e não há garantia de resultados, já que outras conexões podem ser realizadas
assim que outra é fexada, tem que saber o que realmente esta acontecendo, o ideal é bloquear isso via iptables.

acl bloqsiteip dst "/etc/squid3/adm/bloqip " ( no /etc/squid3.adm/bloqip, onde bloqip é um arquivo de texto com os ips, você pode usar outro diretorio, basta criar e salvar no bloco de notas os ips e apontar no endereço em questão)

Bloqueando o acesso, lembrese que essa regra tem que ir antes das outras que liberam acesso, vai ficar assim:

acl bloqueie url_regex -i paypal sexo pornografia
acl bloqsiteip dst "/etc/squid3/adm/bloqip "
http_access deny bloqueie
http_access deny bloqsiteip

Voltando ainda sobre os ips estranhos, veja se não é o caso de ser alvo de algum scanner chines, mais detalhes sobre isso aqui:
http://www.dicas-l.com.br/arquivo/bloqueio_de_acesso_de_computadores_chineses.php



Eu estou com essas dúvidas pq não foi eu que montei essa rede, eu estou na empresa a 1 ano e agora que começaram a aparecer estes ips estranhos na rede.




11. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 20/10/2015 - 14:03h

Se não foi você que monto, fica a pergunta, te deixaram responsável pela administração? se não, chame o responsável pela rede e deixe essa bucha na mão dele, porque pelo que parece ele fez um servicinho bem porco e é responsavel caso algo mais grave aconteça. se isso não for possível e você tem que resolver o pepino, tem dois jeitos

Aprender o basico sobre ipbtales e squid e bloquear essas entradas como solução a curto prazo e chamar um técnico com mais experiencia para rever a rede, ou

Chamar logo alguém com mais experiencia para refazer o serviço.


12. Re: Relatório SARG mostrando IP "estranhos" [RESOLVIDO]

Pablo Henrique Cerqueira Zanata
pablozanata

(usa Debian)

Enviado em 20/10/2015 - 14:11h

Giovanni_Menezes escreveu:

Se não foi você que monto, fica a pergunta, te deixaram responsável pela administração? se não, chame o responsável pela rede e deixe essa bucha na mão dele, porque pelo que parece ele fez um servicinho bem porco e é responsavel caso algo mais grave aconteça. se isso não for possível e você tem que resolver o pepino, tem dois jeitos

Aprender o basico sobre ipbtales e squid e bloquear essas entradas como solução a curto prazo e chamar um técnico com mais experiencia para rever a rede, ou

Chamar logo alguém com mais experiencia para refazer o serviço.


É exatamente isso, o rapaz que fez a rede saiu da empresa e eu entrei no lugar dele, só tem eu aqui pra administrar a rede.
Eu conheço muito pouco de linux mas vou ter q resolver isso sozinho, acho que não vão querer chamar uma outra pessoa pra ajudar.

Vou procurar algum tópico sobre a configuração de iptables e squid e ver o que eu consigo fazer.

Obrigado pela ajuda.





01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts