Olá Cassio.

"E também aparece na relação deste ip 192.168.0.119 links de nomes de usuários 
do próprio squid."

Vou dar um exemplo para você. Este grupo tem uns 8 ip's diferentes, e acontecem 
a mesma coisa, não é uma máquina particular, são várias e as mesmas não estão 
contaminadas.
Aparece assim no sarg (exemplo de alguns usuários: fulano, ciclano e beltrano).

http://fulano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET
http://beltrano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET

É como se listasse os sites (que não são sites), e sim nomes de usuários do 
proxy, entendeu? E também acontece assim: http://www.6b6b101c.com, 
http://www.cb3e557b.com/, http://www.650b5c5b.com (letras e números aleatórios 
e estranhos).

Sobre a ordem das ACLS eu não entendi. O meu está assim:

http_access allow site_desbloqueio ip_bloqueio
http_access deny ip_bloqueio all

#ok - pede senha para acessar SOMENTE PARA O GRUPO RESTO DA EMPRESA e bloqueia 
o naoporn#
http_access allow naoporn all
http_access deny simporn all
http_access allow senha

Eu quero que pede senha para todos os usuários, só que dessa forma, não pede 
senha para o grupo ip_bloqueio.

Aguardo ajuda.
Obrigado!





--- Em qua, 22/7/09, [email protected] <[email protected]> escreveu:

De: [email protected] <[email protected]>
Assunto: Re: [squid-br] squid - log estranho e auxílio em configuração de acl
Para: [email protected]
Data: Quarta-feira, 22 de Julho de 2009, 21:35






 




    
                  Olá,



2009/7/22 ca_programador007 <ca_programador007@ yahoo.com. br>:

>

>

> boa noite,

>

> tenho verificado alguns dias que no squid-reports consta uma coisa estranha

>

> 1248293208.427      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.74963d10 .com/34CCAAB7008 E.htm - NONE/- text/html

> 1248293209.129      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.c662568a .com/1CD6A1BD9CE 0.htm - NONE/- text/html

> 1248293209.887      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.1b13419f .com/1A10E621ACC 0.htm - NONE/- text/html

> 1248293210.703      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.e95d5d70 .com/46DF5F60901 1.htm - NONE/- text/html

> 1248293211.144      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.ec1c67e8 .com/0944B08482C 2.htm - NONE/- text/html

> 1248293211.391      0 192.168.0.119 TCP_DENIED/403 2066 GET

> http://www.3ab100ef .com/CC6189EE8CE 8.htm - NONE/- text/html

> 1248293211.554      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.190deda0 .com/5A00C8BBE7C C.htm - NONE/- text/html

> 1248293211.795      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.fce24d00 .com/8F3E718E14B 3.htm - NONE/- text/html

> 1248293212.015      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.e0fe4cb2 .com/9CEE1227381 E.htm - NONE/- text/html

> 1248293212.188      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.650b5c5b .com/D12A14A974F C.htm - NONE/- text/html

> 1248293212.475      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.cecd6b2f .com/92D115FA149 0.htm - NONE/- text/html

> 1248293212.786      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.cb3e557b .com/8B0BBB90814 1.htm - NONE/- text/html

> 1248293213.015      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.6bfc07b7 .com/CD4814FE659 3.htm - NONE/- text/html

> 1248293213.335      0 192.168.0.119 TCP_DENIED/407 1788 GET

> http://www.6b6b101c .com/26722AFF2DC 7.htm - NONE/- text/html

>



Eu não entendi bem suas dúvidas, mas gostaria de sugerir que

verifique essa estação e veja se não está "contaminada" .



O código TCP_DENIED/407 significa que o proxy informou à estação

que ela deveria fornecer usuário e senha, ou seja, 'pediu' usuário e

senha.  Aparentemente, pelo 'comportamento' listado, a estação (a(s)

aplicação(ões) que está(ão) rodando lá) não forneceu as credenciais.



> E também aparece na relação deste ip 192.168.0.119 links de nomes de usuários 
> do próprio squid.



Não entendi essa parte! Algum exemplo? Será um malware em ação ou

algo similar? Tem alguém nessa estação fazendo esses acessos? Algum

site, sendo acessado nessas estações, tem links para esses sites? É

importante determinar se a ação está sendo executada por um processo

legítimo ou não.



> Uma dúvida também é que para o grupo dos ip's bloqueados, no qual mostra

> esses logs estranhos, não é pedido senha para o usuário. Portanto, estes

> usuários que participam desse grupo, navegam e não pede senha para acessar.



Pelo log que mostrou, os acessos dessa estação ( 192.168.0.119 )

estão solicitando usuário e senha. Você tem certeza de que não é

possível usar a Internet sem configurar o endereço do proxy nos

navegadores?



> Alguém poderia me auxiliar como acertar para pedir senha para o grupo dos

> ip's bloqueados, como é feito hoje para o resto da empresa. Talvez eu

> acertando isso, acredito que esse log estranho desaparecerá.



Você precisa observar a ordem em que as ACLs são examinadas

(http_access) , pois uma vez liberado ou bloqueado um acesso, o

restante não será analisado.



Então, se antes de exigir usuário e senha você liberar determinado

grupo de usuários (por source, por destination, etc), a senha não será

solicitada. O contrário é verdadeiro também, ou seja, se antes de

liberar algum grupo, você usar uma ACL que depende de usuário/senha, a

autenticação será solicitada.



Obrigado.



Cássio


 

      

    
    
        
         
        
        








        


        
        


      
____________________________________________________________________________________
Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com

Responder a