Forums:
Hola Amigos..!!
Tengo una curiosidad...!!
En mi red, mis direcciones empiezan desde la 192.168.1.1 hasta la 192.168.1.100
Tengo configurado mi servidor proxy con sedmail y MailScanner.
Viendo en el log del squid (/var/log/squid/access.log), muesta una dirección que no tengo en mi red, no sé de donde sale. Lo que veo en el log es:
1175184163.658 1030 192.168.1.65 TCP_MISS/200 485 POST http://207.46.110.55/gateway/gateway.dll? - DIRECT/207.46.110.55 application/x-msn-messenger
1175184166.966 4 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184168.286 659 192.168.1.66 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger
1175184172.658 1023 192.168.1.20 TCP_MISS/200 485 POST http://207.46.111.36/gateway/gateway.dll? - DIRECT/207.46.111.36 application/x-msn-messenger
1175184177.667 2 61.59.152.116 TCP_DENIED/403 1440 CONNECT 203.188.197.10:25 - NONE/- text/html
1175184178.291 624 192.168.1.20 TCP_MISS/200 486 POST http://207.46.111.15/gateway/gateway.dll? - DIRECT/207.46.111.15 application/x-msn-messenger
La dirección 61.529.152.116 no tengo idea de donde sale, supuestamente estan conectandose a mi proxy para hacer peticiones para navegar o para mails, no teno idea de lo que se trata ni como verficarlo.
Busco algun intruso que haya ingresado a mi servidor en los ultimos días con el comando last, tambien busque en los ficheros secure pero no hay nada.
Si podrian ayudarme
Gracias de antemano,
Dav
Según se ve tu log, los que
Según se ve tu log, los que accesan al squid son te tu red, y esa ip desconocida sino me equivoco es de Microsoft para conectarse al MSN.
Y seria bueno que al squid solo dejes que escuche en la interfaz interna
ip desconocida
No es de MS. Alguien esta haciendo algo que no debe:
aldo@baraddur ~ $ dig -x 61.59.152.116
; <<>> DiG 9.4.0 <<>> -x 61.59.152.116
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2448
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;116.152.59.61.in-addr.arpa. IN PTR
;; ANSWER SECTION:
116.152.59.61.in-addr.arpa. 86388 IN PTR sw59-152-116.adsl.dynamic.seed.net.tw.
Ademas, fijate a donde estan queriendo conectarse: a una pobre maquina en el puerto 25. Estan intentando enviar spam a traves de este proxy.
ip desconocida
Si exactamente eso es lo que ví, es como que desde mi proxy, tratan de conectarse a otro en el puerto 25.
Eso es muy raro, no se que realmente sea.
Lo que se me ocurre es desconectar maquina por maquina de mi red paa ver de donde provienb..!!
Saludos y gracias por sus comentarios, esperando otros.
Dav
No creo que haga falta desconectar
La ip que sale en tus logs en una maquina localizada en taiwan (seguramente es parte de alguna red de zombies). El origen es claro. El motivo es, como puede verse en los logs, utilizar tu proxy como punto de envio de spam y asi cubrir el rastro.
Lo unico que puedes hacer es restringir las conexiones a servicios que unicamente tiene sentido sean visibles desde fuera. Por supuesto, proxy no tiene sentido ser visto desde fuera (por eso mi recomendacion de mas arriba de cambiar el parametro http_port, y los aportes de los otros miembros recomendandote reglas con iptables). Ademas de eso, revisa la integridad de los directorios de las maquinas que podrian estar afectadas.
Bienvenido al mundo de los neuroticos (en realidad solo es paranoia si *no* te estan buscando).
Páginas