varias conexoes porta 443
Amigos, peço ajuda para tentar entender o que se passa na minha rede.
De uns 20 dias pra cá, tenho detectado uma serie de conexoes para a porta 443. Pensei em trojan ou alguns burlador de proxy (ultrasurf da vida), tenho o symantec end point na empresa, desinstalei e coloquei o avira atualizei e nada... continua aparecendo e o pessoal nao esta usando nenhum tipo de burlador.
olha as danadas ai:
190.245.12.155:443
190.105.45.163:443
200.126.221.28:443
200.104.215.230:443
190.208.35.200:443
190.192.215.101:443
190.160.123.103:443
201.87.96.180:443
201.79.233.181:443
201.53.8.201:443
201.223.230.99:443
201.19.83.73:443
190.77.89.143:443
190.74.51.8:443
190.47.164.26:443
190.247.30.199:443
190.161.155.200:443
189.63.69.92:443
189.60.139.155:443
189.113.206.233:443
187.79.108.25:443
187.10.8.105:443
186.92.178.30:443
186.206.217.40:443
186.18.66.219:443
186.105.94.23:443
143.107.140.15:443
24.232.42.221:443
s1.4publishers.com:443
201.52.172.96:443
201.252.136.242:443
201.250.45.251:443
201.239.13.95:443
201.234.220.43:443
201.231.3.155:443
200.83.7.192:443
200.126.238.220:443
190.254.41.18:443
190.191.12.17:443
190.18.222.126:443
190.179.3.201:443
190.172.9.84:443
190.17.215.206:443
190.16.33.32:443
189.46.239.231:443
189.46.169.161:443
189.120.251.26:443
189.1.170.179:443
Re: varias conexoes porta 443
Bem, pela porta 443 trafega https, pode ser alguém na rede acessando bancos ou outros tipo de sites seguros.
Procure alguma lista de portas na internet quando isso ocorrer, às vezes pode ser algo bem comum.
Espero ter ajudado! Abs!!!
Re: varias conexoes porta 443
Cola ai sua regra de iptables + squid.conf vamos dar uma olhada... Vc utiliza algum tipo de relatorio (sarg) para ver qual os acessos seus usuarios estao tendo?
Re: varias conexoes porta 443
O MSN TAMBÉM USA A PORTA 443 BEM COMO O ORKUT OK.
Re: varias conexoes porta 443
obrigado a todos... legal a boa vontade de ajudar. :D
msn orkut essas paradas todas bloqueadas, pensei em ser um ultrasurf da vida, porem nao eh.
bancos sempre aparece no relatorio sarg. ex: www.santander.com.br:443
esses ips na porta 443 aparece no meu sarg, nao uso proxy transparente e sim
configurado no navegador por isso pego tudo da porta 443.
hoje ate agora (14:45)
so apareceu uma conexão de um computador.
187.74.162.194:443
to em cima aqui..
PAZ
Re: varias conexoes porta 443
mas eai vc sabe para onde q esta indo esta conexao???
Re: varias conexoes porta 443
sowbra...
nao sei... hoje comecei a analisar o trafego da maquina com tcpdump.
quando dou um dig no linux com qualquer um daqueles ips aparece o site da verisign-grs.com
mais quando dou um dig para um endereço que nao existe tipo dig googlsgsdfe.com aparece o mesmo site da verisign-grs.com
entranho hein?
obrigado;
Re: varias conexoes porta 443
Felipe,
Apliquei um whois nele e realmente não encontrei nada. Monitore esse endereço (googlsgsdfe.com) com tcpdump e veja se ainda ocorre algum tráfego com ele.
1) Desde quando esse servidor está ativado???
2) Esse tráfego ocorre onde??? Em toda a rede???
3) Como é a estrutura de firewall? É um servidor Windows ou um GNU/Linux rodando iptables e Squid?