Olá Cassio. "E também aparece na relação deste ip 192.168.0.119 links de nomes de usuários do próprio squid."
Vou dar um exemplo para você. Este grupo tem uns 8 ip's diferentes, e acontecem a mesma coisa, não é uma máquina particular, são várias e as mesmas não estão contaminadas. Aparece assim no sarg (exemplo de alguns usuários: fulano, ciclano e beltrano). http://fulano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET http://ciclano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET http://beltrano - NONE/- text/html 0 192.168.0.119 TCP_DENIED/407 1788 GET É como se listasse os sites (que não são sites), e sim nomes de usuários do proxy, entendeu? E também acontece assim: http://www.6b6b101c.com, http://www.cb3e557b.com/, http://www.650b5c5b.com (letras e números aleatórios e estranhos). Sobre a ordem das ACLS eu não entendi. O meu está assim: http_access allow site_desbloqueio ip_bloqueio http_access deny ip_bloqueio all #ok - pede senha para acessar SOMENTE PARA O GRUPO RESTO DA EMPRESA e bloqueia o naoporn# http_access allow naoporn all http_access deny simporn all http_access allow senha Eu quero que pede senha para todos os usuários, só que dessa forma, não pede senha para o grupo ip_bloqueio. Aguardo ajuda. Obrigado! --- Em qua, 22/7/09, [email protected] <[email protected]> escreveu: De: [email protected] <[email protected]> Assunto: Re: [squid-br] squid - log estranho e auxílio em configuração de acl Para: [email protected] Data: Quarta-feira, 22 de Julho de 2009, 21:35 Olá, 2009/7/22 ca_programador007 <ca_programador007@ yahoo.com. br>: > > > boa noite, > > tenho verificado alguns dias que no squid-reports consta uma coisa estranha > > 1248293208.427 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.74963d10 .com/34CCAAB7008 E.htm - NONE/- text/html > 1248293209.129 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.c662568a .com/1CD6A1BD9CE 0.htm - NONE/- text/html > 1248293209.887 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.1b13419f .com/1A10E621ACC 0.htm - NONE/- text/html > 1248293210.703 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.e95d5d70 .com/46DF5F60901 1.htm - NONE/- text/html > 1248293211.144 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.ec1c67e8 .com/0944B08482C 2.htm - NONE/- text/html > 1248293211.391 0 192.168.0.119 TCP_DENIED/403 2066 GET > http://www.3ab100ef .com/CC6189EE8CE 8.htm - NONE/- text/html > 1248293211.554 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.190deda0 .com/5A00C8BBE7C C.htm - NONE/- text/html > 1248293211.795 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.fce24d00 .com/8F3E718E14B 3.htm - NONE/- text/html > 1248293212.015 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.e0fe4cb2 .com/9CEE1227381 E.htm - NONE/- text/html > 1248293212.188 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.650b5c5b .com/D12A14A974F C.htm - NONE/- text/html > 1248293212.475 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.cecd6b2f .com/92D115FA149 0.htm - NONE/- text/html > 1248293212.786 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.cb3e557b .com/8B0BBB90814 1.htm - NONE/- text/html > 1248293213.015 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.6bfc07b7 .com/CD4814FE659 3.htm - NONE/- text/html > 1248293213.335 0 192.168.0.119 TCP_DENIED/407 1788 GET > http://www.6b6b101c .com/26722AFF2DC 7.htm - NONE/- text/html > Eu não entendi bem suas dúvidas, mas gostaria de sugerir que verifique essa estação e veja se não está "contaminada" . O código TCP_DENIED/407 significa que o proxy informou à estação que ela deveria fornecer usuário e senha, ou seja, 'pediu' usuário e senha. Aparentemente, pelo 'comportamento' listado, a estação (a(s) aplicação(ões) que está(ão) rodando lá) não forneceu as credenciais. > E também aparece na relação deste ip 192.168.0.119 links de nomes de usuários > do próprio squid. Não entendi essa parte! Algum exemplo? Será um malware em ação ou algo similar? Tem alguém nessa estação fazendo esses acessos? Algum site, sendo acessado nessas estações, tem links para esses sites? É importante determinar se a ação está sendo executada por um processo legítimo ou não. > Uma dúvida também é que para o grupo dos ip's bloqueados, no qual mostra > esses logs estranhos, não é pedido senha para o usuário. Portanto, estes > usuários que participam desse grupo, navegam e não pede senha para acessar. Pelo log que mostrou, os acessos dessa estação ( 192.168.0.119 ) estão solicitando usuário e senha. Você tem certeza de que não é possível usar a Internet sem configurar o endereço do proxy nos navegadores? > Alguém poderia me auxiliar como acertar para pedir senha para o grupo dos > ip's bloqueados, como é feito hoje para o resto da empresa. Talvez eu > acertando isso, acredito que esse log estranho desaparecerá. Você precisa observar a ordem em que as ACLs são examinadas (http_access) , pois uma vez liberado ou bloqueado um acesso, o restante não será analisado. Então, se antes de exigir usuário e senha você liberar determinado grupo de usuários (por source, por destination, etc), a senha não será solicitada. O contrário é verdadeiro também, ou seja, se antes de liberar algum grupo, você usar uma ACL que depende de usuário/senha, a autenticação será solicitada. Obrigado. Cássio ____________________________________________________________________________________ Veja quais são os assuntos do momento no Yahoo! +Buscados http://br.maisbuscados.yahoo.com
