varias conexoes porta 443

[felipeassuncaoj]

Amigos, peço ajuda para tentar entender o que se passa na minha rede.
De uns 20 dias pra cá, tenho detectado uma serie de conexoes para a porta 443. Pensei em trojan ou alguns burlador de proxy (ultrasurf da vida), tenho o symantec end point na empresa, desinstalei e coloquei o avira atualizei e nada... continua aparecendo e o pessoal nao esta usando nenhum tipo de burlador.

olha as danadas ai:

190.245.12.155:443

190.105.45.163:443

200.126.221.28:443

200.104.215.230:443

190.208.35.200:443

190.192.215.101:443

190.160.123.103:443

201.87.96.180:443

201.79.233.181:443

201.53.8.201:443

201.223.230.99:443

201.19.83.73:443

190.77.89.143:443

190.74.51.8:443

190.47.164.26:443

190.247.30.199:443

190.161.155.200:443

189.63.69.92:443

189.60.139.155:443

189.113.206.233:443

187.79.108.25:443

187.10.8.105:443

186.92.178.30:443

186.206.217.40:443

186.18.66.219:443

186.105.94.23:443

143.107.140.15:443

24.232.42.221:443

s1.4publishers.com:443

201.52.172.96:443

201.252.136.242:443

201.250.45.251:443

201.239.13.95:443

201.234.220.43:443

201.231.3.155:443

200.83.7.192:443

200.126.238.220:443

190.254.41.18:443

190.191.12.17:443

190.18.222.126:443

190.179.3.201:443

190.172.9.84:443

190.17.215.206:443

190.16.33.32:443

189.46.239.231:443

189.46.169.161:443

189.120.251.26:443

189.1.170.179:443

[GeekWarMachine]

Bem, pela porta 443 trafega https, pode ser alguém na rede acessando bancos ou outros tipo de sites seguros.

Procure alguma lista de portas na internet quando isso ocorrer, às vezes pode ser algo bem comum.

Espero ter ajudado! Abs!!!

[sowbra]

Cola ai sua regra de iptables + squid.conf vamos dar uma olhada... Vc utiliza algum tipo de relatorio (sarg) para ver qual os acessos seus usuarios estao tendo?

[tgnet]

O MSN TAMBÉM USA A PORTA 443 BEM COMO O ORKUT OK.

[felipeassuncaoj]

obrigado a todos... legal a boa vontade de ajudar.

msn orkut essas paradas todas bloqueadas, pensei em ser um ultrasurf da vida, porem nao eh.

bancos sempre aparece no relatorio sarg. ex: www.santander.com.br:443

esses ips na porta 443 aparece no meu sarg, nao uso proxy transparente e sim
configurado no navegador por isso pego tudo da porta 443.

hoje ate agora (14:45)

so apareceu uma conexão de um computador.

187.74.162.194:443

to em cima aqui..

PAZ

[sowbra]

mas eai vc sabe para onde q esta indo esta conexao???

[felipeassuncaoj]

sowbra...

nao sei... hoje comecei a analisar o trafego da maquina com tcpdump.

quando dou um dig no linux com qualquer um daqueles ips aparece o site da verisign-grs.com

mais quando dou um dig para um endereço que nao existe tipo dig googlsgsdfe.com aparece o mesmo site da verisign-grs.com

entranho hein?

obrigado;

[GeekWarMachine]

Felipe,

Apliquei um whois nele e realmente não encontrei nada. Monitore esse endereço (googlsgsdfe.com) com tcpdump e veja se ainda ocorre algum tráfego com ele.

1) Desde quando esse servidor está ativado???

2) Esse tráfego ocorre onde??? Em toda a rede???

3) Como é a estrutura de firewall? É um servidor Windows ou um GNU/Linux rodando iptables e Squid?