+ Responder ao Tópico



  1. #1

    Padrão Squid maluco... ou invasão

    pessoal cheguei hoje na empresa, e fui ver pq meu squid nao tava startado... ao abrir a lista de sites.liberados olha o q apareceu:

    # (C) Copyright 2001,2002, Martin Roesch, Brian Caswell, et al.
    # All rights reserved.
    # $Id: web-coldfusion.rules,v 1.21 2003/10/20 15:03:15 chrisgreen Exp $
    #---------------------
    # WEB-COLDFUSION RULES
    #---------------------
    #

    alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION cfcache.map access";flow:to_server,established; uricontent:"/cfcache.map"; nocase; reference:bugtraq,917; reference:cve,CVE-2000-0057; classtype:attempted-recon; sid:903; rev:5; )
    alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION exampleapp application.cfm";flow:to_server,established; uricontent:"/cfdocs/exampleapp/email/application.cfm"; nocase;reference:bugtraq,1021; classtype:attempted-recon; sid:904; rev:4; )
    alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION application.cfm access";flow:to_server,established; uricontent:"/cfdocs/exampleapp/publish/admin/application.cfm"; nocase;reference:bugtraq,1021; classtype:attempted-recon; sid:905; rev:4; )
    alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-COLDFUSION getfile.cfm access";flow:to_server,established;

    tinha mais... é q nao ia caber tudo... por isso postei apenas esse pedaço...

    agora, o que pode ser isso ?????

    será q me invadiram ?? ou deu pau no squid ??

    o esquisito é q essa máquina nao sai pra internet... apenas filtra as solicitaçoes, pois ela é uma máquina separada do servidor de internet...e eu nao coloquei nenhuma regra permitindo acesso externo nela...

    eu dei uma analisada no meu firewall e ele está normal.... olhei meus outros servidores e tudo de boa... só aconteceu algo sobrenatural nesse mesmo...

    isso aconteceu tb na lista de extensoes.bloqueadas e no squid.conf
    na lista de sites.bloqueados e mime.conf estava normal.

    se alguem souber o q pode ser... estou no aguardo de respostas

    estou no aguardo... vlw

  2. #2

    Padrão

    Mastellaro, estranho....

    Então, dando uma pesquisada no seu erro, parece um log gerado pelo "SNORT" , você utilizou o Snort?

    Não sei o pq dele ter feito um DUMP em seus logs, mas....

    Abraços

  3. #3

    Padrão

    Nao usei o Snort nao....

    eu sinceramente nem mexi na máquina.... kra mó estranho isso, ele simplesmente substituiu meus arquivos de configuraçao por aquela frasaiada toda...

    por falar naquelas frases ali... vc sabe o q significa ??


    desde já agradeço.

  4. #4

    Padrão

    quais as permissões de seus arquivos de configuração do squid??

    este tipo de problema desconheço, mas se derrepente houver uma brecha no squid e as permissões estivessem inseguras, alguém ou algum programa poderia fazer isso...

  5. #5

    Padrão

    essas frases sao REGRAS do squid...

    se vc tiver SSH ativo no servidor.. coloque esta regra para logar quem acessa

    iptables -t filter -I INPUT -p tcp --dport 22 -j LOG --log-prefix='[SSH]: '

    ai fique monitorando os logs /var/log/messages e o dmesg

    se alguem invadiu e acessou por ssh.. vc vai conseguir ver...

  6. #6

    Padrão

    outra coisa

    chmod -R 700 /etc/squid/*
    chmod 700 /etc/squid

    chown squid.squid /etc/squid
    chown -R squid.squid /etc/squid/*

    faça isso.. de permissao apenas para o squid na pasta dele :P