(EM ANALISE) REDIRECIONAMENTO DE CONTÉUDO QUE NÃO POSSUA WWW.



  • Pessoal,

    Preciso da ajuda de vocês.
    Por acaso, existe a possibilidade de bloquear todos endereços que não comecem com www. ou terminem com .com ou .br em um regra?

    No caso seria redirecionar todo o trafego desses endereços e bloquear as portas http e https para esse tipo de informação.

    Por acaso existe essa possibilidade no PFsense?

    Preciso bloquear alguns endereços que não possuem www. ou .com ou .br mas não estou achando tal opção.

    VOcês poderiam me ajudar por favor?



  • Proxy? squid!



  • @empbilly:

    Proxy? squid!

    Empbilly,

    E ai tudo bem?

    Então, no caso estou precisando realizar essa ação para bloquear endereços que estão vindo técnicamente como se fosse criptografia.

    Tipo: http://nxrtfpwwoig/

    Porém é aletorio nem sempre é o mesmo. Por essa razão, pensei se existia alguma maneira de bloquear qualquer site que tenha esse tipo de URL e Liberar apenas sites que contenham www. .com ou .br.



  • Se tiver interceptando ou filtrando o trafego internet com o squid, dificilmente esse endereço vai responder nos dns da internet.

    Se o tráfego internet estiver liberado, acredito que você tem máquinas comprometidas na rede, fazendo acesso a internet resolvendo nomes em servidores 'do mal'.



  • @marcelloc:

    Se tiver interceptando ou filtrando o trafego internet com o squid, dificilmente esse endereço responder nos dns da internet.

    Se o tráfego internet estiver liberado, acredito que você tem máquinas comprometidas na rede, fazendo acesso a internet resolvendo nomes em servidores 'do mal'.

    Bom Dia, Marcelo

    Obrigado pela dica.

    Apenas uma dúvida.
    Existe alguma coisa que eu possa fazer para bloquear esse links nocivos até a resolução do problema?

    Estou fazendo uma ação de limpeza em todo o parque. Porém, existe alguma coisa que eu possa fazer até a resolução disso?

    Obrigado
    Ricardo



  • Ricardo,

    É difícil o bloqueio, pois depois do "http://" são letras aleatórias. Quem sabe com regex tu possa tentar algo.
    http://www.squidguard.org/Doc/expressionlist.html



  • @empbilly:

    Ricardo,

    É difícil o bloqueio, pois depois do "http://" são letras aleatórias. Quem sabe com regex tu possa tentar algo.
    http://www.squidguard.org/Doc/expressionlist.html

    Empbilly

    Sim, por essa razão, estou um pouco perdido.
    A cada dia é gerado um link com novos tipos de letras. Essa questão de ser aleatorio fica dificil de criar algo.

    Bem, vou tentar as dicas que todos me passaram.

    Agradeço pela força.

    Att,
    Ricardo



  • O Marcello comentou sobre maquinas da rede estarem comprometidas, já verificou?



  • @Tomas:

    O Marcello comentou sobre maquinas da rede estarem comprometidas, já verificou?

    Tomas,

    Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
    Irei realizar uma ação essa semana no maximo o final de semana.

    Assim que houver a solução, eu posto aqui no forum.
    Por enquanto obrigado a todos pelas dicas e ajuda.



  • Tomas,

    Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
    Irei realizar uma ação essa semana no maximo o final de semana.

    Assim que houver a solução, eu posto aqui no forum.
    Por enquanto obrigado a todos pelas dicas e ajuda.

    Olá Ricardo,

    Passou uma idéia pela minha cabeça, se fizer uso do SquidGuard, crie uma target e em Regular Expression coloque:

    www.|.com|.com.br|.gov.br

    Depois vá em Group ACL do SquidGuard, crie uma ACL e nas Target Rule List, deixe como como Allow na target criada e Deny no Default.



  • @DavidsonJorge:

    Tomas,

    Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
    Irei realizar uma ação essa semana no maximo o final de semana.

    Assim que houver a solução, eu posto aqui no forum.
    Por enquanto obrigado a todos pelas dicas e ajuda.

    Olá Ricardo,

    Passou uma idéia pela minha cabeça, se fizer uso do SquidGuard, crie uma target e em Regular Expression coloque:

    www.|.com|.com.br|.gov.br

    Depois vá em Group ACL do SquidGuard, crie uma ACL e nas Target Rule List, deixe como como Allow na target criada e Deny no Default.

    Olá Davidson,

    Obrigado pela dica.
    Vou efetuar esse teste. Andei verificando e localizei para onde está direcionando esses links nocivos.
    Aparentemente está apontando para unallocated.barefruit.co.uk.

    Pelo que andei pesquisando, ele consta como um DNS para um Trojan Downloader efetuar um redirecionamento.

    Vou efetuar um teste conforme você me passou desse link… Eu particularment enão havia pensado nesse ponto.

    Obrigado novamente.



  • Isso está aparecendo no log do squid? Qual o código que a requisição gera?



  • @marcelloc:

    Isso está aparecendo no log do squid? Qual o código que a requisição gera?

    Bom Dia, Marcelo!

    No log do Squid, ele gera link aleatorios com varias letras como vide em anexo.
    Se você realiza um teste de ping ou tracert aplicando .org, .com ou .net ambos apontam para o IP: 92.424.140.6 referente ao link: unallocated.barefruit.co.uk.

    Depois de todas as analises que fiz, todos apontam esse link como Trojan Downloader.

    ![log Squid.png](/public/imported_attachments/1/log Squid.png)
    ![log Squid.png_thumb](/public/imported_attachments/1/log Squid.png_thumb)



  • Viu que ele não consegue resolver o nome.

    Veja o arquivo hosts na máquina comprometida, deve estar cheio dessas entradas.