Acesso [RESOLVIDO]

wzol
(usa Slackware)

Enviado em 28/05/2012 - 16:26h

Boa tarde caro amigos do VOL.

Estou com uma estacao na minha rede que faz recebimento de arquivos xml`s nfe`s.
Provavelmente o usuario deve ter aberto algum arquivo que gerou um script no qual esta tentando acessar este endereço.
200.98.134.185

Fiz um traceroute e vi que é um IP do UOL, vindo da cidade de Guarulhos.
Tenho em meu servidor um rodando squid um programa chamado squidview no qual consigo visualizar em tempo real todo trafego que passa pelo meu Squid.
Vejo que o acesso de origem com destino fica asim;
Origem Negacao Destino

1.107 d 200.98.134.185/mang/upx.html

Ja rodei o antivirus na estacao e um anti-spyware, porem as tentativas de acesso continuam.

Ja DROPEI todo range vindo desse IP e tmb neguei qualquer acesso a porta 80 com destino a esse IP.

Alguem poderia me dar uma dica de como parar isso ou só removendo o micro da rede e formatando o PC.


Obrigado
Abracos

phrich
(usa Slackware)

Enviado em 28/05/2012 - 16:30h

Bom se vc quer negar todos os acessos deste IP, coloque o mesmo no arquivo /etc/hosts.deny da seguinte maneira:

ALL: ip_para_bloquear


Bom mas isto também irá depender de como o acesso está sendo feito.

Outra forma seria:

iptables -A INPUT -s ip_do_atacante -j DROP
iptables -A FORWARD -s ip_do_atacante -j DROP

phrich
(usa Slackware)

Enviado em 28/05/2012 - 16:32h

Outra dica, para ver o que se passa em tempo real, basta abrir um terminal e digitar:

tail -f /var/log/squid3/access.log

renato_pacheco
(usa Debian)

Enviado em 28/05/2012 - 16:44h

Outra forma é acessar a estação d trabalho e configurar o acesso à porta 80 deste endereço no firewall do Windows.

wzol
(usa Slackware)

Enviado em 29/05/2012 - 08:51h

Bom dia,

Fiz os procedimentos que aqui foram descritos.
Inclui a(s) regras acima.
Porem no meu log de squid ainda aparecem tentativas de acessos

1.107 d 200.98.134.185/mang/upx.html
1.107 d 200.98.134.185/mang/upx.html
1.107 d 200.98.134.185/mang/upx.html
1.107 d 200.98.134.185/mang/upx.html
1.107 d 200.98.134.185/mang/upx.html
1.107 d 200.98.134.185/mang/upx.html

A tentativa de acesso é feita pela porta 80.
De acordo com meu iptables esta bloqueando tudo oq vier da origem 200.98.164.185
#iptables -L -n -v | grep DROP

0 0 DROP all -- * * 200.98.134.0/24 0.0.0.0/0

Fiz o bloqueio do range inteiro para nao haver problemas.
Como posso me assegurar de que nao estou sendo monitorando mais.?
Grato se alguem puder me orientar.
Abracos

phrich
(usa Slackware)

Enviado em 29/05/2012 - 14:29h

Realize o bloqueio para o destino também:

iptables -A INPUT -p tcp -d ip_para_bloquear -j DROP
iptables -A OUTPUT -p tcp -d ip_para_bloquear -j DROP
iptables -A FORWARD -p tcp -d ip_para_bloquear -j DROP

wzol
(usa Slackware)

Enviado em 29/05/2012 - 15:20h

Resolvido com as regras no iptables
Vlw pela dica

Grade abraço