01 02

Saber IP da maquina que usuário logou no squid

1. Saber IP da maquina que usuário logou no squid

fernandowilliam
(usa Outra)

Enviado em 26/11/2012 - 09:03h

Olá amigos,
tenho em minha rede rodando o squid/sarg, tenho certeza de que algum usuário com restrições conseguiu a senha de um usuário sem restrições de acesso a internet. Posso simplesmente alterar a senha ou nome de usuário ou movê-lo de grupo, mas preciso saber quem esta fazendo isso. Para isso preciso saber pelo menos qual ip ele usava no momento da conexão, tenho os relatórios do sarg, mas eles só mostram o nome do usuário, site, tempo gasto tamanho de dados navegados, mas nao mostram o ip que ele usava no momento da conexão. Poderiam me ajudar?
Desde já agradeço.

0 0

Quote

2. Re: Saber IP da maquina que usuário logou no squid

removido
(usa Nenhuma)

Enviado em 26/11/2012 - 09:09h

# tail -100000 /var/log/squid3/access.log | grep usuario

Vai te listar assim:

1353928153.545   1291 10.1.0.2 TCP_MISS/302 566 POST http://www.vivaolinux.com.br/comunidades/replyTopico.php usuario DIRECT/174.123.53.162 text/html

1353928153.716    168 10.1.0.2 TCP_MISS/301 596 GET http://www.vivaolinux.com.br/comunidades/verTopico.php? usuario DIRECT/174.123.53.162 text/html

Caso queira resolver o timestamp...

# vi /usr/local/sbin/timestampsquid.sh

#!/bin/bash



while read linha

do

tempo="`echo $linha|cut -d\. -f1`"

legivel="`date -d @$tempo`"

echo $linha|sed "s/${tempo}\.[0-9]\+ /$legivel /"



done

# chmod +x /usr/local/sbin/timestampsquid.sh

# tail -100000 /var/log/squid3/access.log | grep usuario | timestampsquid.sh

Seg Nov 26 09:10:55 BRST 2012 160 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 274 GET http://img.vivaolinux.com.br/comunidades/imagens/membros_ico.png usuario DIRECT/174.123.53.162 -

Seg Nov 26 09:10:55 BRST 2012 160 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 274 GET http://img.vivaolinux.com.br/imagens/forbidden.gif usuario DIRECT/174.123.53.162 -

Seg Nov 26 09:10:56 BRST 2012 162 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 282 GET http://img.vivaolinux.com.br/imagens/fotos/desconhecido.jpg usuario DIRECT/174.123.53.162 -

1 0

Quote

3. Show

fernandowilliam
(usa Outra)

Enviado em 26/11/2012 - 11:18h

Muito obrigado, consegui identificar!

0 0

Quote

4. Re: Saber IP da maquina que usuário logou no squid

removido
(usa Nenhuma)

Enviado em 26/11/2012 - 11:26h

fernandowilliam escreveu:

Muito obrigado, consegui identificar!

Beleza!

Precisando estamos ai!

Abraço!

0 0

Quote

5. Squid 2.7

cabralwms
(usa Debian)

Enviado em 08/04/2013 - 08:10h

Bom dia pessoal, estou com um problema, eu configurei o squid e o firewall tudo certinho mais acho que mesmo assim alguém conseguiu descobrir como driblar isso alguém poderia me ajudar a identificar?

usei o comando tail -100000 /var/log/squid/access.log | grep IP olha o que me mandou na tela

1365418318.454 30 192.168.0.28 TCP_DENIED/403 1512 GET http://tbupdate.zugo.com/ztb/2.4/jsi/hosts.js? - NONE/- text/html
1365418318.454 11 192.168.0.28 TCP_DENIED/403 1474 GET http://utrack.zugo.com/reg? - NONE/- text/html
1365418318.915 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418321.806 5 192.168.0.28 TCP_DENIED/403 1528 GET http://fxfeeds.mozilla.com/pt-BR/firefox/headlines.xml - NONE/- text/html
1365418339.429 0 192.168.0.28 TCP_DENIED/403 1468 GET http://www.facebook.com/ - NONE/- text/html
1365418339.477 0 192.168.0.28 TCP_DENIED/403 1490 GET http://www.facebook.com/favicon.ico - NONE/- text/html
1365418360.898 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.digicert.com/ - NONE/- text/html
1365418416.817 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418540.465 8 192.168.0.28 TCP_DENIED/403 1544 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1365418600.485 9 192.168.0.28 TCP_DENIED/403 1544 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1365418677.769 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418700.136 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418867.052 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418915.797 10 192.168.0.28 TCP_DENIED/403 1510 GET http://tbupdate.zugo.com/ztb/update/firefox/? - NONE/- text/html
1365418916.372 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418916.596 4 192.168.0.28 TCP_DENIED/403 1488 POST http://evsecure-ocsp.verisign.com/ - NONE/- text/html
1365418917.295 5 192.168.0.28 TCP_DENIED/403 1508 GET http://evsecure-crl.verisign.com/pca3-g5.crl - NONE/- text/html
1365418917.509 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418917.533 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418919.780 5 192.168.0.28 TCP_DENIED/403 1478 GET http://download.mozilla.org/? - NONE/- text/html
1365418919.994 5 192.168.0.28 TCP_DENIED/403 1478 GET http://download.mozilla.org/? - NONE/- text/html

como saber que está pelo squid e sendo bloqueado?

0 0

Quote

6. Re: Saber IP da maquina que usuário logou no squid

removido
(usa Nenhuma)

Enviado em 08/04/2013 - 08:22h

cabralwms escreveu:

como saber que está pelo squid?

Você está capturando os logs do squid.

como saber se está sendo bloqueado?

TCP_DENIED/403

0 0

Quote

7. problema que tenho certeza que consegue passar por ele

cabralwms
(usa Debian)

Enviado em 08/04/2013 - 09:10h

tipo tenho o contato da pessoa no facebook e vejo ela on-line em horários não permitido certeza que está com alguma falha. só não sei o que pode ser?
Alguem tem uma alternativa que tipo eu crie no firewall forçando o IP a passar pela porta do Squid 3128?
Eu vi que um funcionário me contou que copia e cola um link no navegador só que não sei que link é talvez eles mudem algo no proxy do Firefox e consigam driblar o squid

0 0

Quote

8. Re: Saber IP da maquina que usuário logou no squid

removido
(usa Nenhuma)

Enviado em 08/04/2013 - 09:34h

Continue monitorando o access.log, veja se não está passando algum kproxy. Minha sugestão e usar o iptables com politica padrão DROP e usar um filtro de conteúdo atrelado ao Squid. Eu gosto muito do dansguardian. Tem uma blacklist que já bloqueia uma grande quantidade de kproxys.

0 0

Quote

9. Vlw pela dica

cabralwms
(usa Debian)

Enviado em 08/04/2013 - 10:02h

Vou verificar isso eu trabalho com squid algum tempo, mais ultimamente cada usuário aparece com uma surpresa.
Vou ver como instalar o dansguardian brigadão mesmo

0 0

Quote

10. acesso indevido mesmo com bloqueios

cabralwms
(usa Debian)

Enviado em 24/04/2013 - 12:20h

Então verifiquei e acho que estão usando o facebook através do link com https://www.facebook.com.br
Alguem tem uma solução para esse tipo de acesso?

Não posso bloquear a porta 443 pq ai os programas dos bancos não funciona

0 0

Quote

11. Re: Saber IP da maquina que usuário logou no squid

Buckminster
(usa Debian)

Enviado em 24/04/2013 - 12:32h

cabralwms escreveu:

Então verifiquei e acho que estão usando o facebook através do link com https://www.facebook.com.br
Alguem tem uma solução para esse tipo de acesso?

Não posso bloquear a porta 443 pq ai os programas dos bancos não funciona

Bloqueia somente para o facebook:

iptables -A FORWARD -i ethx -d facebook.com -p tcp --dport 443 -j DROP
iptables -A INPUT -i ethx -d facebook.com -p tcp --dport 443 -j DROP

Somente tenha o cuidado de inserir essas regras no lugar certo no teu script.
Em ethx você coloca a placa de rede da tua subrede.

0 0

Quote

12. Outra questão

cabralwms
(usa Debian)

Enviado em 24/04/2013 - 12:38h

existem maquinas que poderam acessar, tipo, dono, diretor, não posso bloquear deles com essa regra isso vai bloquear para qualquer computador?
tenho que liberar algumas como fazer?

0 0

Quote