Squid maluco... ou invasão

[mastellaro]

pessoal cheguei hoje na empresa, e fui ver pq meu squid nao tava startado... ao abrir a lista de sites.liberados olha o q apareceu:

# (C) Copyright 2001,2002, Martin Roesch, Brian Caswell, et al.
# All rights reserved.
# $Id: web-coldfusion.rules,v 1.21 2003/10/20 15:03:15 chrisgreen Exp $
#---------------------
# WEB-COLDFUSION RULES
#---------------------
#

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION cfcache.map access";flow:to_server,established; uricontent:"/cfcache.map"; nocase; reference:bugtraq,917; reference:cve,CVE-2000-0057; classtype:attempted-recon; sid:903; rev:5; )
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION exampleapp application.cfm";flow:to_server,established; uricontent:"/cfdocs/exampleapp/email/application.cfm"; nocase;reference:bugtraq,1021; classtype:attempted-recon; sid:904; rev:4; )
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION application.cfm access";flow:to_server,established; uricontent:"/cfdocs/exampleapp/publish/admin/application.cfm"; nocase;reference:bugtraq,1021; classtype:attempted-recon; sid:905; rev:4; )
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION getfile.cfm access";flow:to_server,established;

tinha mais... é q nao ia caber tudo... por isso postei apenas esse pedaço...

agora, o que pode ser isso ?????

será q me invadiram ?? ou deu pau no squid ??

o esquisito é q essa máquina nao sai pra internet... apenas filtra as solicitaçoes, pois ela é uma máquina separada do servidor de internet...e eu nao coloquei nenhuma regra permitindo acesso externo nela...

eu dei uma analisada no meu firewall e ele está normal.... olhei meus outros servidores e tudo de boa... só aconteceu algo sobrenatural nesse mesmo...

isso aconteceu tb na lista de extensoes.bloqueadas e no squid.conf
na lista de sites.bloqueados e mime.conf estava normal.

se alguem souber o q pode ser... estou no aguardo de respostas

estou no aguardo... vlw

[MAJOR]

Mastellaro, estranho....

Então, dando uma pesquisada no seu erro, parece um log gerado pelo "SNORT" , você utilizou o Snort?

Não sei o pq dele ter feito um DUMP em seus logs, mas....

Abraços

[mastellaro]

Nao usei o Snort nao....

eu sinceramente nem mexi na máquina.... kra mó estranho isso, ele simplesmente substituiu meus arquivos de configuraçao por aquela frasaiada toda...

por falar naquelas frases ali... vc sabe o q significa ??


desde já agradeço.

[lucianogf]

quais as permissões de seus arquivos de configuração do squid??

este tipo de problema desconheço, mas se derrepente houver uma brecha no squid e as permissões estivessem inseguras, alguém ou algum programa poderia fazer isso...

[alexandrecorrea]

essas frases sao REGRAS do squid...

se vc tiver SSH ativo no servidor.. coloque esta regra para logar quem acessa

iptables -t filter -I INPUT -p tcp --dport 22 -j LOG --log-prefix='[SSH]: '

ai fique monitorando os logs /var/log/messages e o dmesg

se alguem invadiu e acessou por ssh.. vc vai conseguir ver...

[alexandrecorrea]

outra coisa

chmod -R 700 /etc/squid/*
chmod 700 /etc/squid

chown squid.squid /etc/squid
chown -R squid.squid /etc/squid/*

faça isso.. de permissao apenas para o squid na pasta dele :P