Conexões estranhas

[Rafael Cristian]

bem pessoal o meu problema é mais uma duvida, no final do espediente, ondem todas as maqunas estão desligadas.... por que meu servidor proxy fica mostrando isso quando executo o comando tail -f /cache/acesse.log

1105158695.744 40 66.177.136.158 TCP_DENIED/403 1440 GET http://p3.movies.dcn.yahoo.com/profiles/GOTH_87 - NONE/- text/html
1105158696.000 24 218.92.180.238 TCP_DENIED/403 1398 GET http://61.172.249.200:7200 - NONE/- text/html
1105158696.323 46 12.177.10.74 TCP_DENIED/403 1438 GET http://movies.yahoo.com/profiles/ENLARGED_DICK - NONE/- text/html
1105158696.456 51 65.75.190.70 TCP_DENIED/403 1439 GET http://www.badgeometry.com/wiki/Sensors/referrers - NONE/- text/html
1105158698.322 43 220.119.50.167 TCP_DENIED/403 1420 POST http://book.oursm.com/bbs/logging.php - NONE/- text/html
1105158698.572 44 65.75.190.70 TCP_DENIED/403 1445 GET http://www.badgeometry.com/wiki/llSetColor/referrers - NONE/- text/html
1105158699.714 44 220.119.50.167 TCP_DENIED/403 1418 POST http://book.oursm.com/bbs/member.php - NONE/- text/html
1105158699.715 0 218.86.1.121 TCP_DENIED/403 1375 CONNECT 61.121.100.107:80 - NONE/- text/html

com um detalhe todas as tentivas são barradas como mostra o TCP_DENIED/403

alguem poderia me tirar essa duvida e propor uma solução?

agradeço a todos

Rafael Cristian

[ruyneto]

Seguinte ja checou os ips que tentaram a conecção?? sera que nao tem getne usando seu proxy de fora da sua rede??

falows

[fotg]

Nao tem mais nenhuma maquina que fica liga denoite que pode ter tipo alguns ad(spy)aware que ficam requisitando estes sites ... por estas URLS é o que parece !!

[Rafael Cristian]

pode ser sim que estaja ficando maquinas ligadas na empresa.... e outra, como foi dito, algumas pessoas de fora podem esta usando o meu proxy para tantar sair, mas todas as requisições estão sendo barradas.... pois bem....

como poderia descobrir se estão usando o meu proxy.... outra, sera que essa quantidade de requisições pode causar alguma perda de desempenho no meu proxy e por fim, existe alguma maneira de barrar completamente essas conexões fantas mas?

agradeço a todos e desculpa por tantas perguntas

[ruyneto]

Cara o que vc pode fazer eh barrar conecções de proxy externas via iptables, e tambem dar uma varredura por spywares nas maquinas windows.
Ahh se nao me engano os primeiro numero de ip que apareçe no log eh o ip que requisitou a página, e isso pode causar perda de link pois a requisição chega a entrar.

Falows

[fotg]

Cara o que vc pode fazer eh barrar conecções de proxy externas via iptables, e tambem dar uma varredura por spywares nas maquinas windows.
Ahh se nao me engano os primeiro numero de ip que apareçe no log eh o ip que requisitou a página, e isso pode causar perda de link pois a requisição chega a entrar.

Falows

E como disse o Ruy, tb acho que vc deveria deixar barrado o acesso a conexoes na interface externa !! mesmo que nao seja este o caso vale a pena... evita da ideia pra mocada que ta de fora !!! eheheh

eth1=iface externa

iptables -t filter -A INPUT -p tcp -i eth1 -s 0/0 --destination-port 3128 -j DROP

veja se a linha

httpd_accel_with_proxy on

se estiver ponha para

httpd_accel_with_proxy on

provavelmente seu proxy esta sendo usado por spammers para mandarem lixo.

Essa linha desabilita (digamos assim) o proxy reverso.

Faça um teste: digite o ip da sua maquina no google. Se aparecer um bocado de paginas dizendo por proxys anonimos ou coisas do genero, isto estah acontecendo.

[]´s

veja se a linha

httpd_accel_with_proxy on

se estiver ponha para

httpd_accel_with_proxy off

provavelmente seu proxy esta sendo usado por spammers para mandarem lixo.

Essa linha desabilita (digamos assim) o proxy reverso.

Faça um teste: digite o ip da sua maquina no google. Se aparecer um bocado de paginas dizendo por proxys anonimos ou coisas do genero, isto estah acontecendo.

[]´s