Olá, 2009/7/22 ca_programador007 <[email protected]>: > > > boa noite, > > tenho verificado alguns dias que no squid-reports consta uma coisa estranha > > 1248293208.427 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.74963d10.com/34CCAAB7008E.htm - NONE/- text/html > 1248293209.129 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.c662568a.com/1CD6A1BD9CE0.htm - NONE/- text/html > 1248293209.887 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.1b13419f.com/1A10E621ACC0.htm - NONE/- text/html > 1248293210.703 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.e95d5d70.com/46DF5F609011.htm - NONE/- text/html > 1248293211.144 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.ec1c67e8.com/0944B08482C2.htm - NONE/- text/html > 1248293211.391 0 192.168.0.119 TCP_DENIED/403 2066 GET > http://www.3ab100ef.com/CC6189EE8CE8.htm - NONE/- text/html > 1248293211.554 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.190deda0.com/5A00C8BBE7CC.htm - NONE/- text/html > 1248293211.795 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.fce24d00.com/8F3E718E14B3.htm - NONE/- text/html > 1248293212.015 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.e0fe4cb2.com/9CEE1227381E.htm - NONE/- text/html > 1248293212.188 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.650b5c5b.com/D12A14A974FC.htm - NONE/- text/html > 1248293212.475 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.cecd6b2f.com/92D115FA1490.htm - NONE/- text/html > 1248293212.786 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.cb3e557b.com/8B0BBB908141.htm - NONE/- text/html > 1248293213.015 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.6bfc07b7.com/CD4814FE6593.htm - NONE/- text/html > 1248293213.335 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.6b6b101c.com/26722AFF2DC7.htm - NONE/- text/html >
Eu não entendi bem suas dúvidas, mas gostaria de sugerir que verifique essa estação e veja se não está "contaminada". O código TCP_DENIED/407 significa que o proxy informou à estação que ela deveria fornecer usuário e senha, ou seja, 'pediu' usuário e senha. Aparentemente, pelo 'comportamento' listado, a estação (a(s) aplicação(ões) que está(ão) rodando lá) não forneceu as credenciais. > E também aparece na relação deste ip 192.168.0.119 links de nomes de usuários > do próprio squid. Não entendi essa parte! Algum exemplo? Será um malware em ação ou algo similar? Tem alguém nessa estação fazendo esses acessos? Algum site, sendo acessado nessas estações, tem links para esses sites? É importante determinar se a ação está sendo executada por um processo legítimo ou não. > Uma dúvida também é que para o grupo dos ip's bloqueados, no qual mostra > esses logs estranhos, não é pedido senha para o usuário. Portanto, estes > usuários que participam desse grupo, navegam e não pede senha para acessar. Pelo log que mostrou, os acessos dessa estação ( 192.168.0.119 ) estão solicitando usuário e senha. Você tem certeza de que não é possível usar a Internet sem configurar o endereço do proxy nos navegadores? > Alguém poderia me auxiliar como acertar para pedir senha para o grupo dos > ip's bloqueados, como é feito hoje para o resto da empresa. Talvez eu > acertando isso, acredito que esse log estranho desaparecerá. Você precisa observar a ordem em que as ACLs são examinadas (http_access), pois uma vez liberado ou bloqueado um acesso, o restante não será analisado. Então, se antes de exigir usuário e senha você liberar determinado grupo de usuários (por source, por destination, etc), a senha não será solicitada. O contrário é verdadeiro também, ou seja, se antes de liberar algum grupo, você usar uma ACL que depende de usuário/senha, a autenticação será solicitada. Obrigado. Cássio
