Eliminar possível vírus do pfSsense
-
@helton Testei aqui no meu Linux, a pagina não abre!!!!
Primeiro para que serve esse endereço?? pq vc acessa ele?
O que vc poderia fazer é criar uma regra no firewall na LAN bloqueando todo o acesso da sua Lan para o endereço console.google.com -
@andrezaomac Então... no cenário normal é exatamente isso que deveria acontecer! (a página não abrir!) mas dentro da rede gerenciada pelo pfSense o site apresenta essa tela com barra laranja!
Por isso acho que possa ser algum tipo de infecção no pfSense mas até agora não encontrei nada que sustente a suspeita!
Mas respondendo a sua pergunta, Esse endereço foi digitado por acidente quando estávamos tentando acessar a página do developers.google.com e com isso nos deparamos com essa surpresa!
E uma vez que o pfSense é o Canal principal da minha rede estou buscando uma forma de remover este vírus dele.
Uma coisa que percebi é que quando digito esse endereço diretamente no barra de navegação o navegador não aplica o protocolo "https://" e sim o "http://" apenas. E tem mais uma coisa, no protocolo https a mensagem não aparece.
Entendeu?
-
@helton Provavelmente a infecçao está em seu computador e não no pfSense!
Teste seu computador em outra rede.
-
@andrezaomac Já fiz isso! Nas outras redes não acontece nada! Agora pelo pfSense acontece. Não sei se estou falando besteira mas besquisei aqui e o endereço de encaminhamento do link pela barra laranja leva para um tal de http://dnm.snbox.ru/admin/contact/index.php?domain=google.com e aparentemente este link pertence a um agente malicioso identificado como DNM mas não sei como removê-lo do pfSense pode me ajudar nessa empreitada para ver se não estou falando besteira?
-
@helton Eu administro mais de 15 servidores pfSense, fora meus clientes de consultoria.
Eu nunca presenciei nenhum servidor com vírus.
Quando me deparo com situações semelhante, por seguração eu bloqueio a entrada/saída do IP "malicioso" e pronto já fica tudo resolvido. -
@andrezaomac Interessante! Para criar a Regar é necessário ter o Squid Instalado no pfSense ou posso criar uma regra específica para este caso sem o Squid? e se não for pedir demais pode me ajudar nos passos? é que eu não estou com o conhecimento tão avançado como o seu no pfSense!
-
@helton Não precisa do Squid!!!!
Primeiro descubra o IP desse site malicioso, e marque tbm o domínio.
Vá em Firewall>>Aliases e crie uma nova, e adicione o domínio e o IP maliciosos nessa nova Aliases.
Depois Vá para Firewall>> Regras>> na aba WAN, e crie uma nova regra, onde a ORIGEM vc coloca a Aliases que vc criou eo restante vc deixa como Any.Depois na em Firewall>>Regras>> na aba LAN, vc faz a mesma coisa, porem em ORIGEM vc deixa ANY e em DESTINO vc coloca sua Aliases.
Feito isso é só salvar e aplicar, e assim sua rede não terá mais acesso!! -
Eu diria que o bloqueio ao site seria apenas um band aid, para esse tipo de coisa você deve procurar a raíz do problema pois essa barra muito provavelmente não é exclusiva desse site que você tentou acessar e deve aparecer em outros também.
Como foi em um endereço incorreto que apareceu, eu testaria outros endereços inexistentes pra ver o comportamento. Meu palpite é que é algo no DNS, sugiro você alterar o que está usando por algum outro para testar.
Também vale rodar um tcpdump aí no pfSense ou o Wireshark no seu computador mesmo pra ver se acha algo no caminho que indique melhor o que pode ser.
-
Pra mim é nítido que o primeiro serviço a investigar é o dns. Se estiver usando algum encaminhador, retire.
-
Pessoal,
Encontrei o Causa do problema! O motivo da mensagem aparecer estava relacionada ao nome do host e seu domínio! na estrutura que eu montei o meu pfSense, o dominio finalizava em (.com) Ex. nomedohost.nomedodominio.com e por algum motivo que eu não descobri (suponho que seja mesmo algo relacionado ao DNS) isso estava implicando em um desvio do site. Diante dessa descoberta eu alterei o final do endereço, feito isso os acessos normalizaram.
Agradeço a colaboração de todos os envolvidos foi muito útil a participação de vocês!
Até Mais!!!
