ENDEREÇOS ESTRANHOS PROXY REALTIME E RELATORIOS DO LIGHT SQUID



  • Bom Dia, Pessoal!

    Preciso da ajuda de vocês.
    Após uma maquina pegar vírus em meu parque de TI, começou a apresentar os seguintes endereços no Proxy como consta em anexo.
    Andei pesquisando mas não achei nada corelacionado a esse tipo de problema.

    Eu tenho a ligeira impressão que pode ser algum tipo de vírus. Realizei a limpeza da maquina de todas as formas possivéis, Spyware, Malwarer, Antivírus, Arquivos Temp, Atualizações do Windows, Programas que limpão os navegadores entre outros.

    Vocês poderiam me ajudar por favor?

    Obrigado
    ![Abiner - IP-0.99 - n1.png](/public/imported_attachments/1/Abiner - IP-0.99 - n1.png)
    ![Abiner - IP-0.99 - n1.png_thumb](/public/imported_attachments/1/Abiner - IP-0.99 - n1.png_thumb)
    ![Abiner - IP-0.99 - n2.png](/public/imported_attachments/1/Abiner - IP-0.99 - n2.png)
    ![Abiner - IP-0.99 - n2.png_thumb](/public/imported_attachments/1/Abiner - IP-0.99 - n2.png_thumb)



  • Isso pode ser N fatores, é até meio difícil em responder isso, porque se eu afirmar algo e depois não ser fica difícil. O que eu recomendo é o seguinte, ver qual IP ta tentando acessar esses supostos links outra coisa que você pode fazer é pegar esse hostname e colocar como black list em seu proxy. Infelizmente é meio difícil de responder porque é uma coisa que tem que ser analisa minunciosamente



  • @danilosv.03:

    Isso pode ser N fatores, é até meio difícil em responder isso, porque se eu afirmar algo e depois não ser fica difícil. O que eu recomendo é o seguinte, ver qual IP ta tentando acessar esses supostos links outra coisa que você pode fazer é pegar esse hostname e colocar como black list em seu proxy. Infelizmente é meio difícil de responder porque é uma coisa que tem que ser analisa minunciosamente

    Bom Dia, Danilo!

    Realmente é bem dificil chegar a uma conclusão. Provavelmente terá que fazer varios testes mesmo.
    Eu sinceramente, não tinha visto esse tipo de problema. Até por essa razão, postei aqui no forum para ver se alguem já passou por algo semelhante a isso.

    Vou realizar esse processo que você me indicou. Havendo novidades, eu posto aqui forum.

    Obrigado



  • @danilosv.03:

    Isso pode ser N fatores, é até meio difícil em responder isso, porque se eu afirmar algo e depois não ser fica difícil. O que eu recomendo é o seguinte, ver qual IP ta tentando acessar esses supostos links outra coisa que você pode fazer é pegar esse hostname e colocar como black list em seu proxy. Infelizmente é meio difícil de responder porque é uma coisa que tem que ser analisa minunciosamente

    Danilo,

    Apenas uma dúvida. Eu consigo colocar esse endereço IP na maquina na Black List tabém?



  • Ricardo, se isso é malware, você precisa verificar as outras máquinas da tua rede também. Tá com cara de worm.



  • @empbilly:

    Ricardo, se isso é malware, você precisa verificar as outras máquinas da tua rede também. Tá com cara de worm.

    Bom Dia, empbilly

    Pensei nisso. Estou executando o antivírus para tentar limpar.
    Por acaso, você conhece algum ferramenta especifica para limpeza de Worm, Spyware entre outros?

    Obrigado



  • @ricardo.duarte:

    @empbilly:

    Ricardo, se isso é malware, você precisa verificar as outras máquinas da tua rede também. Tá com cara de worm.

    Bom Dia, empbilly

    Pensei nisso. Estou executando o antivírus para tentar limpar.
    Por acaso, você conhece algum ferramenta especifica para limpeza de Worm, Spyware entre outros?

    Obrigado

    Panda USB Vaccine pra bloquear mídias removíveis de infectar versões a partir do windows 7.
    http://research.pandasecurity.com/panda-usb-and-autorun-vaccine

    Pra scan nas máquinas tu pode utilizar o Kaspersky Virus Removal Tool. OBS: Tu precisa por todas as mídias removíveis infectadas no computador em questão antes de realizar esses procedimentos, pois dessa forma irá realizar a limpeza neles também.
    https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1



  • @empbilly:

    @ricardo.duarte:

    @empbilly:

    Ricardo, se isso é malware, você precisa verificar as outras máquinas da tua rede também. Tá com cara de worm.

    Bom Dia, empbilly

    Pensei nisso. Estou executando o antivírus para tentar limpar.
    Por acaso, você conhece algum ferramenta especifica para limpeza de Worm, Spyware entre outros?

    Obrigado

    Panda USB Vaccine pra bloquear mídias removíveis de infectar versões a partir do windows 7.
    http://research.pandasecurity.com/panda-usb-and-autorun-vaccine

    Pra scan nas máquinas tu pode utilizar o Kaspersky Virus Removal Tool. OBS: Tu precisa por todas as mídias removíveis infectadas no computador em questão antes de realizar esses procedimentos, pois dessa forma irá realizar a limpeza neles também.
    https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1

    Empbilly

    Obrigado. Vou realizar esse procedimento e monitorar e ver se irá sanar o problema. Resolvendo, eu posto todo o procedimento que realizei.



  • @empbilly:

    @ricardo.duarte:

    @empbilly:

    Ricardo, se isso é malware, você precisa verificar as outras máquinas da tua rede também. Tá com cara de worm.

    Bom Dia, empbilly

    Pensei nisso. Estou executando o antivírus para tentar limpar.
    Por acaso, você conhece algum ferramenta especifica para limpeza de Worm, Spyware entre outros?

    Obrigado

    Panda USB Vaccine pra bloquear mídias removíveis de infectar versões a partir do windows 7.
    http://research.pandasecurity.com/panda-usb-and-autorun-vaccine

    Pra scan nas máquinas tu pode utilizar o Kaspersky Virus Removal Tool. OBS: Tu precisa por todas as mídias removíveis infectadas no computador em questão antes de realizar esses procedimentos, pois dessa forma irá realizar a limpeza neles também.
    https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1

    Bom Dia, Empbilly

    A maioria das maquinas após utilizar o Kaspersky aparentemente resolveu. Havia bastante lixo nessa maquinas.
    Agora vou continuar monitorando.



  • Pessoal,

    Agradeço a ajuda de todos com as dicas e ideias.

    Preciso apenas de mais um favor.

    Existe algum ponto que posso modificar em meu Firewall para aumentar a segurança?

    Vocês poderiam me dar alguma dica por favor?

    Obrigado



  • Snort Suricata, estude sobre eles.



  • @danilosv.03:

    Snort Suricata, estude sobre eles.

    Beleza, Danilo!

    Obrigado

    Novidades eu posto aqui no Forum.

    Mais um vez Obrigado



  • @danilosv.03:

    Snort Suricata, estude sobre eles.

    Danilo,

    Apenas uma dúvida.
    Eu devo utilziar os dois?

    Pelo que estou vendo, se entendi bem. Eu posso utilizar tanto um quanto o outro certo?



  • Pessoal,

    Estou com algumas dúvidas referente ao suricata.
    Pelo que andei verificando, ele faz todo o bloqueio e Filtragem do IPS e do IDS. Porém gostaria de saber se quando habilitar o mesmo irá infringir algum problema em minha rede?

    Ele consume muitos recursos do Servidor?

    Quais seriam as boas praticas para utiliza-lo?

    Você poderiam me ajudar por favor?



  • @ricardo.duarte:

    Pessoal,

    Estou com algumas dúvidas referente ao suricata.
    Pelo que andei verificando, ele faz todo o bloqueio e Filtragem do IPS e do IDS. Porém gostaria de saber se quando habilitar o mesmo irá infringir algum problema em minha rede?

    Ele consume muitos recursos do Servidor?

    Quais seriam as boas praticas para utiliza-lo?

    Você poderiam me ajudar por favor?

    O ideal é tu criar um laboratorio pra testes e virtualizar. Direto no servidor em produção não é o ideal.


Log in to reply