Responder 
 
Avaliação do Tópico:
  • 0 Votos - 0 Média
  • 1
  • 2
  • 3
  • 4
  • 5
endereço estrano na linha do Access.log do squid.
07/12/2006, 11:53
Resposta: #1
endereço estrano na linha do Access.log do squid.
Ola pessoal, estou com um problemão !!!!

Ha uma rede de 40 Maquinas, e esla usando Debian com squid e sarg para servidor de internet.
Esta caindo a rede toda, derrepente !!!
Ai desligamos o Switch e ligamos novamente e volta tudo ao normal, quando cai a rede o Switch parace estar normal, pois as luzes acendem e parece que esta lincando normalmente.

Dei uma olhada nos logs do Squid, pelo Sarg, e percebi que ha 4 Computadores que estão acessando um endereço desconhecido.!!!

Esta linha no Sarge.
216.205.78.110/wpad.dat

O restante das maquinas, não aparecem esta linha no log, e estas mesmas maquinas que estão aparecendo a linha, não querias acessar um deteminado programa que funciiona em rede.

Pode ser que seja algum Sniffer trabalhando na rede???
Ja sugeri formatação nas maquinas, mais não sei se vai percistir o problema.!!!!

Ja tentei pingar, nmap e traceroute, mais o endereço IP 216.205.78.110 parece morto, ou configurado para não responder..

Aguardo uma luz, de alguem ou sei la. qualquer opinião é muito bem vinda.!!!!!

Agora estou com um Site, dedicado a estudos e tutoriais com a distribuição Debian.

www.linuxconf.v10.com.br

Aguardo a visita de todos.
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
07/12/2006, 12:18
Resposta: #2
 
bom, vc pode usar sniffers para análise da rede, como o ethereal e o tcpdump, tente tente ver quais são as máquinas que estão disparando um grande número de pacotes, suas estações de trabalho são Windows ou Linux?
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
07/12/2006, 19:57
Resposta: #3
 
Então, eu analizei com o IPtraf e percebi que a maquina 192.168.1.17 da minha rede, estava com um trafego muito intenso. E justamente ela estava com mais acessos no endereço do ip que eu citei.

Sendo que ela é uma maquina restrita pelo squid.!!!

Agora estou com um Site, dedicado a estudos e tutoriais com a distribuição Debian.

www.linuxconf.v10.com.br

Aguardo a visita de todos.
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
07/12/2006, 20:34
Resposta: #4
 
carlos.dds, que SO esta maquina esta usando, se for win pode ser um worm ou virus, essas coisas, tenta tirar só esta maquina da rede pra ver se volta e passa o antivirus e essas coisas, estou partindo do principio que essas maquinas são windows.

Visite também o Nosso Wiki
WikiForumdebian

--
"In a World without Walls and Fences, who needs Windows and Gates? -
Think different. -Think Linux."
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
07/12/2006, 20:38
Resposta: #5
 
Ela ja saiu da rede, ela e outras 3 que estavam acessando o mesmo endereço !!!!

MAis não foram encontrados virus nelas, isso é estranho.
Apesar que isso esta na cara que é um virus não é !!!!


O que acho estranho é o fato de 216.205.78.110/wpad.dat
O que seria isso???

Meu medo é de isso ser normal aparecer no Access.log do squid sei la.
Alguem ja viu isso ???

Agora estou com um Site, dedicado a estudos e tutoriais com a distribuição Debian.

www.linuxconf.v10.com.br

Aguardo a visita de todos.
Visitar o website do usuário Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
07/12/2006, 20:55
Resposta: #6
 
carlos.dds, isso pode ser Spyware, procure uma lista de bloqueios atualizada em http://www.malware.com.br e coloque em seu squid, lá no site tem um tutorial bem explicativo, uma boa também seria instalar o Syware Doctor, ou Spy Bot (ambos vc encontra facilmente em http://www.superdownloads.com.br) , qqr dúvida posta aí...
Encontrar todas as respostas deste usuário
Citar esta mensagem em uma resposta
Responder 


Ir ao Fórum:


Usuários visualizando este tópico: 1 Visitantes

Entre em Contato | Fórum Debian | Voltar ao Topo | Voltar ao Conteúdo | Modo Leve (Arquivo) | Feeds RSS