Denuncie   Favoritos   Indicar  

Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

1. Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna
(usa Ubuntu)

Enviado em 07/12/2017 - 11:38h

Olá! Tenho um servidor proxy rodando o Squid 3.5.12
Notei um comportamento extranho vindo do própio servidor.
Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

Analisando o relatório do Sarg eu tenho:

Site Acessado Usuário
37 178.32.180.206:80 199.101.185.182
38 178.63.247.2:80 199.101.185.182
39 18.181.0.46:80 199.101.185.182
40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
46 182.22.12.120:25 124.110.81.16 36.2.125.29
47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
60 183.79.16.120:25 118.243.89.35 124.110.81.16
61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
76 %1Bl$ 45.76.190.235
77 %1D 45.76.190.235
78 2 45.76.190.235
79 203.138.180.112:25 124.110.3.225
80 203.138.180.240:25 124.110.3.225
81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
82 204.79.197.229:80 116.102.80.21
83 206.214.211.166:80 91.186.8.91
84 208.70.245.28:80 73.243.237.82
85 208.79.237.176:80 91.186.8.91
86 209.235.125.193:80 199.101.185.182

Isso apenas parte do log!

De onde podem estar vindo essas requisições? Pode ser um ataque?

Já agradeço a todos!

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 19:48h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



    Agora Sim!

    O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
    Mas confesso que nao sei o que aconteceu

    Rede local:
    interface enp5s0
    range 10.1.0.0/24

    Rede externa:
    interface enp3s0
    range 177.12.176.0/12

    Porta do squid: 3128


    Aconteceu que qualquer PC na internet poderia usar o seu server como proxy, apesar de provavelmente você ter evitado no squid.conf. A sua porta de proxy estava acessível externamente. Então era colocar seu IP e porta e estavam tentando utilizar. Aí você restringiu à apenas sua rede interna, o que eliminou o tráfego indesejável.

    1 0
  • Quote

    • 3. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 11:47h

    JhonatanSantAna escreveu:

    Olá! Tenho um servidor proxy rodando o Squid 3.5.12
    Notei um comportamento extranho vindo do própio servidor.
    Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

    Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

    1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
    1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

    Analisando o relatório do Sarg eu tenho:

    Site Acessado Usuário
    37 178.32.180.206:80 199.101.185.182
    38 178.63.247.2:80 199.101.185.182
    39 18.181.0.46:80 199.101.185.182
    40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
    41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
    42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
    43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
    44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
    45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
    46 182.22.12.120:25 124.110.81.16 36.2.125.29
    47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
    48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
    49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
    50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
    51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
    52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
    53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
    54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
    55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
    56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
    57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
    58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
    59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
    60 183.79.16.120:25 118.243.89.35 124.110.81.16
    61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
    62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
    76 %1Bl$ 45.76.190.235
    77 %1D 45.76.190.235
    78 2 45.76.190.235
    79 203.138.180.112:25 124.110.3.225
    80 203.138.180.240:25 124.110.3.225
    81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
    82 204.79.197.229:80 116.102.80.21
    83 206.214.211.166:80 91.186.8.91
    84 208.70.245.28:80 73.243.237.82
    85 208.79.237.176:80 91.186.8.91
    86 209.235.125.193:80 199.101.185.182

    Isso apenas parte do log!

    De onde podem estar vindo essas requisições? Pode ser um ataque?

    Já agradeço a todos!



    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    0 0
  • Quote

    • 4. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 11:54h

    LSSilva escreveu:

    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    modprobe ip_tables
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

    Ele navega externamente. mas sozinho?

    0 0
  • Quote

    • 5. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 12:38h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    modprobe ip_tables
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

    Ele navega externamente. mas sozinho?


    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.

    0 0
  • Quote

    • 6. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 13:05h

    LSSilva escreveu:

    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.


    Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

    Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
    Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

    Já formatei uma nova máquina e o problema continuou =/

    0 0
  • Quote

    • 7. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 14:02h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.


    Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

    Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
    Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

    Já formatei uma nova máquina e o problema continuou =/


    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?

    0 0
  • Quote

    • 8. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 14:20h

    LSSilva escreveu:

    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



    Agora Sim!

    O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
    Mas confesso que nao sei o que aconteceu

    Rede local:
    interface enp5s0
    range 10.1.0.0/24

    Rede externa:
    interface enp3s0
    range 177.12.176.0/12

    Porta do squid: 3128

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    IA Turbina o Desktop Linux enquanto distros renovam forças

    Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)

    Linux em 2025: Segurança prática para o usuário

    Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado

    IA chega ao desktop e impulsiona produtividade no mundo Linux

    Dicas

    Atualizando o Fedora 42 para 43

    Como saber se o seu e-mail já teve a senha vazada?

    Como descobrir se a sua senha já foi vazada na internet?

    Como instalar o repositório do DBeaver no Ubuntu

    Como instalar o Plex Media Server no Ubuntu

    Tópicos

    Instalação dualboot Windows 11 e Debian 13 (0)

    Programa fora de escala na tela do pc (33)

    Eu queria adicionar a incon do wifi e deixa transparente no fluxbox no... (0)

    boot linux mint (2)

    Log (1)

    Top 10 do mês

    Scripts

    [Shell Script] Atualizar Debian versão 2.0

    [Shell Script] fuckdrive - zerador de unidades

    [Shell Script] Script para atualizar o Debian 13

    [Shell Script] Script para teste de THP no sistema

    [Shell Script] Deixando o Plasma6 mais fluido

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: