Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Resolvido] PFSense em constante download [Sob algum ataque]

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 6 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • reginaldo_barretoR
      reginaldo_barreto
      last edited by

      Está impossível essa situação, ninguém está navegando !!!

      Seria isso um ataque ?

      Reginaldo Barreto

      1 Reply Last reply Reply Quote 0
      • T
        tomaswaldow
        last edited by

        Faz um teste:
        Instala o pacote: iftop

        e pelo terminal roda o comando na interface WAN:
        exemplo: iftop -i rl0

        Veja se consegue ver o trafego, endereços, etc

        Tomas @ 2W Consultoria

        1 Reply Last reply Reply Quote 0
        • reginaldo_barretoR
          reginaldo_barreto
          last edited by

          A primeira linha, esse IP fica o tempo todo em download..

          ![Captura de tela 2014-12-11 16.39.36.png](/public/imported_attachments/1/Captura de tela 2014-12-11 16.39.36.png)
          ![Captura de tela 2014-12-11 16.39.36.png_thumb](/public/imported_attachments/1/Captura de tela 2014-12-11 16.39.36.png_thumb)
          ![Sem título.png](/public/imported_attachments/1/Sem título.png)
          ![Sem título.png_thumb](/public/imported_attachments/1/Sem título.png_thumb)

          Reginaldo Barreto

          1 Reply Last reply Reply Quote 0
          • reginaldo_barretoR
            reginaldo_barreto
            last edited by

            Quando faço uma busca de informações do ip sempre leva a empresa LEVEL 3

            hurri.png
            hurri.png_thumb
            hurri-1.png
            hurri-1.png_thumb

            Reginaldo Barreto

            1 Reply Last reply Reply Quote 0
            • G
              gst.freitas
              last edited by

              esse ip 200 é uma estação ? pode está com virus.. um botnet.

              1 Reply Last reply Reply Quote 0
              • reginaldo_barretoR
                reginaldo_barreto
                last edited by

                Esse ip 200 é o próprio PFSense (Interface de WAN)

                Reginaldo Barreto

                1 Reply Last reply Reply Quote 0
                • reginaldo_barretoR
                  reginaldo_barreto
                  last edited by

                  Estranho que quando paro serviço do SQUID essa transferência louca para…

                  Reginaldo Barreto

                  1 Reply Last reply Reply Quote 0
                  • T
                    tomaswaldow
                    last edited by

                    Já tive problemas semelhante é era um extensão do chrome das estações,
                    tente ver no log do squid para ver se encontra a origem, pois vai ser o pfsense mesmo o download mas a requisição vem de alguma estação…

                    Tomas @ 2W Consultoria

                    1 Reply Last reply Reply Quote 0
                    • W
                      wesmp3
                      last edited by

                      Ja tive esse problema, parava o squid e o download parava e voltava ao normal, mas o ip que puxava todo o trafego era um da google… mas ai tinha sido lançado a versão 2.1.4 do pfsense atualizei e nao deu mais bronca...

                      1 Reply Last reply Reply Quote 0
                      • I
                        Ivan Moreira
                        last edited by

                        Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk  ::) :o
                        Mas cara, não parece ser ataque não…

                        I'm not on drugs, I'm not on drugs

                        1 Reply Last reply Reply Quote 0
                        • F
                          fpmazzi
                          last edited by

                          @Ivan:

                          Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk  ::) :o
                          Mas cara, não parece ser ataque não…

                          Particularmente no seu caso como descobriu e como resolveu?

                          1 Reply Last reply Reply Quote 0
                          • I
                            Ivan Moreira
                            last edited by

                            @fpmazzi:

                            @Ivan:

                            Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk  ::) :o
                            Mas cara, não parece ser ataque não…

                            Particularmente no seu caso como descobriu e como resolveu?

                            Então, calhou que meu patrão veio informar que estávamos sendo atacados, que haviam vários ip's russos, alemão, frança, etc… Mas sabíamos que estávamos baixando um software via torrent, ai foi só parar o torrent que os logs normalizavam.
                            Mas isso foi so um acaso engraçado...
                            No seu caso, já que ouvi que o pode ser uma contaminação, é legal fazer um preventivo profundo.
                            Mas se você diz que o ip que aparece é de uma empresa do seu provedor eu já descartaria essa possibilidade.
                            Não tenho ideias melhores do que ja foi dito aqui para te passar, mas tente identificar nos processos o que está puxando banda. "Se é resultado, é de algo." e se é algo tecnicamente não é invisível...
                            Procure investigar o squid, se você disse que dropando ele a transferência para, então esse é o caminho...

                            I'm not on drugs, I'm not on drugs

                            1 Reply Last reply Reply Quote 0
                            • reginaldo_barretoR
                              reginaldo_barreto
                              last edited by

                              Deve ser algum pau no squid, pois quando todos da empresa foram embora eu permaneci para checar  aquela situação. E o download comendo solto.
                              Como a taxa de download estava em 100% acabou prejudicando 2 vpn's , como tinha uma outra máquina parada não pensei 2x instalei o PFSense e substitui o equipamento.
                              Problema foi resolvido mas infelizmente não consegui saber com exatidão o erro do PFSense.

                              Reginaldo Barreto

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.