Invadiram minha conexão .... é possível?

1. Invadiram minha conexão .... é possível?

Marina
mary.popins

(usa Conectiva)

Enviado em 10/06/2008 - 16:08h

Olá .. boa tarde!

Estou com problemas, não entendo quase nada de linux, então se eu estiver falando besteira me falem!

Tenho aqui no trabalho uma máquina que serve única e exclusivamente para servidor de internet. ela é um pentium III com 128 RAM e 20Gb de HD.

Alguns dias atrás o modem da telefonica começou a dar problemas, e eles vieram e trocaram meu parks por um dlink dsl 500b. Enquanto o squid não está ligado ela navega beleza .... mas a hora que eu ligo o squid fica super lento. O tempo do ping no site da telefonica passa de 43 para 200.
Só estou usando uma máquina para acessar na rede ... as outras eu tirei.

Aprendi no forum a utilizar o tail -f no access.log ....

Limpei os logs e o cache .... iniciei o squid e dei comando ... aparece um monte de sites acessando .... uns sites que eu nem conheço ... algumas coisas de ICQ .... da minha rede aparece super pouco.

É possivel que alguém esteja roubando a minha conexão? Como faço para corrigir isso?

Obrigada,

Marina





  


2. ?

Juliao Junior
juliaojunior

(usa Debian)

Enviado em 10/06/2008 - 16:54h

não entendi: quem fez a instalação? isso faz diferença ;)


3. Re: Invadiram minha conexão .... é possível?

Delton
giaco

(usa Debian)

Enviado em 10/06/2008 - 17:08h

No access log aparece além dos sites acessados os ips que acessaram. Verifique.


4. Re: Invadiram minha conexão .... é possível?

Robson Padilha Cordeiro
robsonpc

(usa Manjaro Linux)

Enviado em 10/06/2008 - 17:18h

Conte-nos como esta a estrutura da sua rede. Seu modem esta ligado num Hub que possuiu outras maquinas configuradas nele? Ou so tem X maquinas ligadas em um hub isolado com o modem nele? Roubar conexao é dificil mas nao é impossivel....Sua rede é Wireless, utp......


5. modem

Juno Kim
juno

(usa Debian)

Enviado em 10/06/2008 - 17:30h

Cara
Você deixou o cara levar o modem parks embora ?

Esse é um dos melhores modens que existe!

Ver se tem algum erro:
tail -f /var/log/messages

falou :D


6. Re: Invadiram minha conexão .... é possível?

Marina
mary.popins

(usa Conectiva)

Enviado em 10/06/2008 - 17:30h

Vamos por partes ....

- eu mesma instalei o squid ... mas não sei configurar direito ...

- o modem está ligado no servidor e o servidor num switch

veja uma parte do meu access.log:

1213121272.243 932 192.168.0.2 TCP_MISS/200 3378 GET http://www.crp.org.br/ - DIRECT/198.106.217.253 text/html
Este é da minha rede, certo?

Veja outro (desses tem milhares):
1213121281.260 12232 90.211.110.152 TCP_MISS/200 12834 GET http://login.india.yahoo.com/config/login? - DIRECT/202.86.7.110 text/html

1213121282.694 3080 91.149.126.49 TCP_MISS/200 141 CONNECT login.icq.com:443 - DIRECT/64.12.200.89

São outras pessoas acessando minha rede certo?

Obrigada :)


7. Re: Invadiram minha conexão .... é possível?

Luciano Gomes
lucianopqd

(usa Ubuntu)

Enviado em 10/06/2008 - 17:39h

Amigo se toda vez que vc sobe o serviço de squid a internet fica lenta, vc deve estar tendo problema com as regras de firewall e suas acls no squid, um erro comum nesses casos é a ordem de escrever as regras e as redundâncias de regras desnecessárias... faça uma verificação por completo em todas suas regras, lembre-se primeiro vc fecha tudo, depois vem abrindo o que vc precisa... uma redundâncias clássica é o cara que fecha todas as portas no firewall, depois não satisfeito ele cria uns DROPS de algumas portas, pô, se ele já fechou todas em cima pra quê criar mais... deu pra entender?


8. Re: Invadiram minha conexão .... é possível?

Robson Padilha Cordeiro
robsonpc

(usa Manjaro Linux)

Enviado em 10/06/2008 - 17:44h

Primeira ação é reconfigurar o seu squid como o lucianopqd falou. Depois é tentar identificar daonde estao vindo esses ips. Isso pode ser ate virus no servidor, caso seja windows.

Espero que consiga sanar esses problemas...


9. proxy aberto para o mundo

Spitfire
prota

(usa Outra)

Enviado em 10/06/2008 - 17:57h

Amigo,

seu proxy esta aberto para o mundo, adicione uma regra no firewall para bloquear o acesso externo ao squid.

ex.
IPTABLES
iptables -A INPUT -p tcp --dport 3128 -i $ext_if -j DROP

IPFW
ipfw add deny tcp from any to any 3128 in via $ext_if

PF
block in on $ext_if inet proto tcp from any to any port 3128

Espero ter ajudado.

[]s


10. Re: Invadiram minha conexão .... é possível?

Sérgio Abrantes Junior
pelo

(usa Debian)

Enviado em 10/06/2008 - 21:24h

Mari,

O teu proxy é transparente? Qual q regra que tens no teu firewall..podes colocar aqui? A política de FORWARD está drop? Podes colar teu squid.conf (sem os comentários) para agente analisar?

Várias perguntas heim hhehe

Sérgio Abrantes
[]'s


11. Re: Invadiram minha conexão .... é possível?

Marina
mary.popins

(usa Conectiva)

Enviado em 11/06/2008 - 08:22h

Bom dia!!!!

Mais uma vez, vamos por partes ....

O modem parks está aqui ainda ... o cara da telefonica não levou embora, mas ele não funciona :). eu adorava ele tb!

O meu servidor é linux, com conectiva 9 instalado. Então posso descartar que é vírus?

Eu utilizo o ipchains, eu sei que é mais antigo, mas qdo fui instalar o iptables ele pediu pra eu atulizar um monte de coisas e eu não sei fazer isso.

Na minha configuração do squid eu só mexi em 3 linhas .... o resto já veio na instalação, como eu disse, não sei configurar. Mas sempre foi essa connfiguração ... só agora que deu esse problema?

Segue o squid.conf:

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB

cache_dir ufs /var/cache/squid 100 16 256


auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl crp_serv src 192.168.0.0

http_access allow all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_reply_access allow all

icp_access allow all

coredump_dir /var/cache/squid



12. Re: Invadiram minha conexão .... é possível?

Delton
giaco

(usa Debian)

Enviado em 11/06/2008 - 08:42h

Como o nosso amigo prota disse, seu proxy está aberto para o mundo!
Faça isso:

# Bloqueia todas as conexões onde o destinho é seu servidor.
ipchains -P input DENY

# Libera as conexões vindas de sua rede interna para seu servidor.
ipchains -A input -s 192.168.0.0/255.255.255.0 -p tcp 3128 -j ACCEPT

Com isso você evita que acessem de fora seu server. Pode aconter da regra padrão DENY bloquear outras coisas, então você precisa abrir manualmente.

Quer uma dica? Instale uma distro mais nova. Debian é uma ótima opção pra servidores...




01 02 03