Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Eliminar possível vírus do pfSsense

    Scheduled Pinned Locked Moved Portuguese
    13 Posts 5 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • HeltonH
      Helton @ghislenidroid
      last edited by

      @ghislenidroid Acontece em Qualquer máquina que rode Linux e Android. Testei no Windows e está normal!

      Tecnólogo em Gestão da Tecnologia da Informação
      Google Certified Educator - Level 1

      "Se você acha que pode, ou que não pode fazer alguma coisa, você tem sempre razão."
      (Henry Ford)

      andrezaomacA 1 Reply Last reply Reply Quote 0
      • andrezaomacA
        andrezaomac @Helton
        last edited by

        @helton Testei aqui no meu Linux, a pagina não abre!!!!

        Primeiro para que serve esse endereço?? pq vc acessa ele?
        O que vc poderia fazer é criar uma regra no firewall na LAN bloqueando todo o acesso da sua Lan para o endereço console.google.com

        Consultoria em Servidores Linux/Windows.
        contato@andrenetwork.com.br

        Tecnólogo em Redes de Computadores.
        Bacharel em Sistemas da Informação.

        http://www.andrenetwork.com.br

        Limeira - SP

        HeltonH 1 Reply Last reply Reply Quote 0
        • HeltonH
          Helton @andrezaomac
          last edited by

          @andrezaomac Então... no cenário normal é exatamente isso que deveria acontecer! (a página não abrir!) mas dentro da rede gerenciada pelo pfSense o site apresenta essa tela com barra laranja!

          Por isso acho que possa ser algum tipo de infecção no pfSense mas até agora não encontrei nada que sustente a suspeita!

          Mas respondendo a sua pergunta, Esse endereço foi digitado por acidente quando estávamos tentando acessar a página do developers.google.com e com isso nos deparamos com essa surpresa!

          E uma vez que o pfSense é o Canal principal da minha rede estou buscando uma forma de remover este vírus dele.

          Uma coisa que percebi é que quando digito esse endereço diretamente no barra de navegação o navegador não aplica o protocolo "https://" e sim o "http://" apenas. E tem mais uma coisa, no protocolo https a mensagem não aparece.

          Entendeu?

          Tecnólogo em Gestão da Tecnologia da Informação
          Google Certified Educator - Level 1

          "Se você acha que pode, ou que não pode fazer alguma coisa, você tem sempre razão."
          (Henry Ford)

          andrezaomacA 1 Reply Last reply Reply Quote 0
          • andrezaomacA
            andrezaomac @Helton
            last edited by

            @helton Provavelmente a infecçao está em seu computador e não no pfSense!

            Teste seu computador em outra rede.

            Consultoria em Servidores Linux/Windows.
            contato@andrenetwork.com.br

            Tecnólogo em Redes de Computadores.
            Bacharel em Sistemas da Informação.

            http://www.andrenetwork.com.br

            Limeira - SP

            HeltonH 1 Reply Last reply Reply Quote 0
            • HeltonH
              Helton @andrezaomac
              last edited by

              @andrezaomac Já fiz isso! Nas outras redes não acontece nada! Agora pelo pfSense acontece. Não sei se estou falando besteira mas besquisei aqui e o endereço de encaminhamento do link pela barra laranja leva para um tal de http://dnm.snbox.ru/admin/contact/index.php?domain=google.com e aparentemente este link pertence a um agente malicioso identificado como DNM mas não sei como removê-lo do pfSense pode me ajudar nessa empreitada para ver se não estou falando besteira?

              Tecnólogo em Gestão da Tecnologia da Informação
              Google Certified Educator - Level 1

              "Se você acha que pode, ou que não pode fazer alguma coisa, você tem sempre razão."
              (Henry Ford)

              andrezaomacA 1 Reply Last reply Reply Quote 0
              • andrezaomacA
                andrezaomac @Helton
                last edited by

                @helton Eu administro mais de 15 servidores pfSense, fora meus clientes de consultoria.
                Eu nunca presenciei nenhum servidor com vírus.
                Quando me deparo com situações semelhante, por seguração eu bloqueio a entrada/saída do IP "malicioso" e pronto já fica tudo resolvido.

                Consultoria em Servidores Linux/Windows.
                contato@andrenetwork.com.br

                Tecnólogo em Redes de Computadores.
                Bacharel em Sistemas da Informação.

                http://www.andrenetwork.com.br

                Limeira - SP

                HeltonH 1 Reply Last reply Reply Quote 0
                • HeltonH
                  Helton @andrezaomac
                  last edited by

                  @andrezaomac Interessante! Para criar a Regar é necessário ter o Squid Instalado no pfSense ou posso criar uma regra específica para este caso sem o Squid? e se não for pedir demais pode me ajudar nos passos? é que eu não estou com o conhecimento tão avançado como o seu no pfSense!

                  Tecnólogo em Gestão da Tecnologia da Informação
                  Google Certified Educator - Level 1

                  "Se você acha que pode, ou que não pode fazer alguma coisa, você tem sempre razão."
                  (Henry Ford)

                  andrezaomacA 1 Reply Last reply Reply Quote 0
                  • andrezaomacA
                    andrezaomac @Helton
                    last edited by

                    @helton Não precisa do Squid!!!!

                    Primeiro descubra o IP desse site malicioso, e marque tbm o domínio.
                    Vá em Firewall>>Aliases e crie uma nova, e adicione o domínio e o IP maliciosos nessa nova Aliases.
                    Depois Vá para Firewall>> Regras>> na aba WAN, e crie uma nova regra, onde a ORIGEM vc coloca a Aliases que vc criou eo restante vc deixa como Any.

                    Depois na em Firewall>>Regras>> na aba LAN, vc faz a mesma coisa, porem em ORIGEM vc deixa ANY e em DESTINO vc coloca sua Aliases.
                    Feito isso é só salvar e aplicar, e assim sua rede não terá mais acesso!!

                    Consultoria em Servidores Linux/Windows.
                    contato@andrenetwork.com.br

                    Tecnólogo em Redes de Computadores.
                    Bacharel em Sistemas da Informação.

                    http://www.andrenetwork.com.br

                    Limeira - SP

                    1 Reply Last reply Reply Quote 1
                    • jao_mezariJ
                      jao_mezari
                      last edited by

                      Eu diria que o bloqueio ao site seria apenas um band aid, para esse tipo de coisa você deve procurar a raíz do problema pois essa barra muito provavelmente não é exclusiva desse site que você tentou acessar e deve aparecer em outros também.

                      Como foi em um endereço incorreto que apareceu, eu testaria outros endereços inexistentes pra ver o comportamento. Meu palpite é que é algo no DNS, sugiro você alterar o que está usando por algum outro para testar.

                      Também vale rodar um tcpdump aí no pfSense ou o Wireshark no seu computador mesmo pra ver se acha algo no caminho que indique melhor o que pode ser.

                      1 Reply Last reply Reply Quote 1
                      • marcellocM
                        marcelloc
                        last edited by

                        Pra mim é nítido que o primeiro serviço a investigar é o dns. Se estiver usando algum encaminhador, retire.

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 1
                        • HeltonH
                          Helton
                          last edited by

                          Pessoal,

                          Encontrei o Causa do problema! O motivo da mensagem aparecer estava relacionada ao nome do host e seu domínio! na estrutura que eu montei o meu pfSense, o dominio finalizava em (.com) Ex. nomedohost.nomedodominio.com e por algum motivo que eu não descobri (suponho que seja mesmo algo relacionado ao DNS) isso estava implicando em um desvio do site. Diante dessa descoberta eu alterei o final do endereço, feito isso os acessos normalizaram.

                          Agradeço a colaboração de todos os envolvidos foi muito útil a participação de vocês!

                          Até Mais!!!

                          Tecnólogo em Gestão da Tecnologia da Informação
                          Google Certified Educator - Level 1

                          "Se você acha que pode, ou que não pode fazer alguma coisa, você tem sempre razão."
                          (Henry Ford)

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.