Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    (EM ANALISE) REDIRECIONAMENTO DE CONTÉUDO QUE NÃO POSSUA WWW.

    Portuguese
    5
    14
    765
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      ricardo.duarte last edited by

      Pessoal,

      Preciso da ajuda de vocês.
      Por acaso, existe a possibilidade de bloquear todos endereços que não comecem com www. ou terminem com .com ou .br em um regra?

      No caso seria redirecionar todo o trafego desses endereços e bloquear as portas http e https para esse tipo de informação.

      Por acaso existe essa possibilidade no PFsense?

      Preciso bloquear alguns endereços que não possuem www. ou .com ou .br mas não estou achando tal opção.

      VOcês poderiam me ajudar por favor?

      1 Reply Last reply Reply Quote 0
      • empbilly
        empbilly last edited by

        Proxy? squid!

        1 Reply Last reply Reply Quote 0
        • R
          ricardo.duarte last edited by

          @empbilly:

          Proxy? squid!

          Empbilly,

          E ai tudo bem?

          Então, no caso estou precisando realizar essa ação para bloquear endereços que estão vindo técnicamente como se fosse criptografia.

          Tipo: http://nxrtfpwwoig/

          Porém é aletorio nem sempre é o mesmo. Por essa razão, pensei se existia alguma maneira de bloquear qualquer site que tenha esse tipo de URL e Liberar apenas sites que contenham www. .com ou .br.

          1 Reply Last reply Reply Quote 0
          • marcelloc
            marcelloc last edited by

            Se tiver interceptando ou filtrando o trafego internet com o squid, dificilmente esse endereço vai responder nos dns da internet.

            Se o tráfego internet estiver liberado, acredito que você tem máquinas comprometidas na rede, fazendo acesso a internet resolvendo nomes em servidores 'do mal'.

            1 Reply Last reply Reply Quote 0
            • R
              ricardo.duarte last edited by

              @marcelloc:

              Se tiver interceptando ou filtrando o trafego internet com o squid, dificilmente esse endereço responder nos dns da internet.

              Se o tráfego internet estiver liberado, acredito que você tem máquinas comprometidas na rede, fazendo acesso a internet resolvendo nomes em servidores 'do mal'.

              Bom Dia, Marcelo

              Obrigado pela dica.

              Apenas uma dúvida.
              Existe alguma coisa que eu possa fazer para bloquear esse links nocivos até a resolução do problema?

              Estou fazendo uma ação de limpeza em todo o parque. Porém, existe alguma coisa que eu possa fazer até a resolução disso?

              Obrigado
              Ricardo

              1 Reply Last reply Reply Quote 0
              • empbilly
                empbilly last edited by

                Ricardo,

                É difícil o bloqueio, pois depois do "http://" são letras aleatórias. Quem sabe com regex tu possa tentar algo.
                http://www.squidguard.org/Doc/expressionlist.html

                1 Reply Last reply Reply Quote 0
                • R
                  ricardo.duarte last edited by

                  @empbilly:

                  Ricardo,

                  É difícil o bloqueio, pois depois do "http://" são letras aleatórias. Quem sabe com regex tu possa tentar algo.
                  http://www.squidguard.org/Doc/expressionlist.html

                  Empbilly

                  Sim, por essa razão, estou um pouco perdido.
                  A cada dia é gerado um link com novos tipos de letras. Essa questão de ser aleatorio fica dificil de criar algo.

                  Bem, vou tentar as dicas que todos me passaram.

                  Agradeço pela força.

                  Att,
                  Ricardo

                  1 Reply Last reply Reply Quote 0
                  • T
                    tomaswaldow last edited by

                    O Marcello comentou sobre maquinas da rede estarem comprometidas, já verificou?

                    1 Reply Last reply Reply Quote 0
                    • R
                      ricardo.duarte last edited by

                      @Tomas:

                      O Marcello comentou sobre maquinas da rede estarem comprometidas, já verificou?

                      Tomas,

                      Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
                      Irei realizar uma ação essa semana no maximo o final de semana.

                      Assim que houver a solução, eu posto aqui no forum.
                      Por enquanto obrigado a todos pelas dicas e ajuda.

                      1 Reply Last reply Reply Quote 0
                      • D
                        DavidsonJorge last edited by

                        Tomas,

                        Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
                        Irei realizar uma ação essa semana no maximo o final de semana.

                        Assim que houver a solução, eu posto aqui no forum.
                        Por enquanto obrigado a todos pelas dicas e ajuda.

                        Olá Ricardo,

                        Passou uma idéia pela minha cabeça, se fizer uso do SquidGuard, crie uma target e em Regular Expression coloque:

                        www.|.com|.com.br|.gov.br

                        Depois vá em Group ACL do SquidGuard, crie uma ACL e nas Target Rule List, deixe como como Allow na target criada e Deny no Default.

                        1 Reply Last reply Reply Quote 0
                        • R
                          ricardo.duarte last edited by

                          @DavidsonJorge:

                          Tomas,

                          Sim ele comentou, pelo testes que fiz, aparentemente existe problemas relacionados a vírus.
                          Irei realizar uma ação essa semana no maximo o final de semana.

                          Assim que houver a solução, eu posto aqui no forum.
                          Por enquanto obrigado a todos pelas dicas e ajuda.

                          Olá Ricardo,

                          Passou uma idéia pela minha cabeça, se fizer uso do SquidGuard, crie uma target e em Regular Expression coloque:

                          www.|.com|.com.br|.gov.br

                          Depois vá em Group ACL do SquidGuard, crie uma ACL e nas Target Rule List, deixe como como Allow na target criada e Deny no Default.

                          Olá Davidson,

                          Obrigado pela dica.
                          Vou efetuar esse teste. Andei verificando e localizei para onde está direcionando esses links nocivos.
                          Aparentemente está apontando para unallocated.barefruit.co.uk.

                          Pelo que andei pesquisando, ele consta como um DNS para um Trojan Downloader efetuar um redirecionamento.

                          Vou efetuar um teste conforme você me passou desse link… Eu particularment enão havia pensado nesse ponto.

                          Obrigado novamente.

                          1 Reply Last reply Reply Quote 0
                          • marcelloc
                            marcelloc last edited by

                            Isso está aparecendo no log do squid? Qual o código que a requisição gera?

                            1 Reply Last reply Reply Quote 0
                            • R
                              ricardo.duarte last edited by

                              @marcelloc:

                              Isso está aparecendo no log do squid? Qual o código que a requisição gera?

                              Bom Dia, Marcelo!

                              No log do Squid, ele gera link aleatorios com varias letras como vide em anexo.
                              Se você realiza um teste de ping ou tracert aplicando .org, .com ou .net ambos apontam para o IP: 92.424.140.6 referente ao link: unallocated.barefruit.co.uk.

                              Depois de todas as analises que fiz, todos apontam esse link como Trojan Downloader.

                              ![log Squid.png](/public/imported_attachments/1/log Squid.png)
                              ![log Squid.png_thumb](/public/imported_attachments/1/log Squid.png_thumb)

                              1 Reply Last reply Reply Quote 0
                              • marcelloc
                                marcelloc last edited by

                                Viu que ele não consegue resolver o nome.

                                Veja o arquivo hosts na máquina comprometida, deve estar cheio dessas entradas.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post

                                Products

                                • Platform Overview
                                • TNSR
                                • pfSense
                                • Appliances

                                Services

                                • Training
                                • Professional Services

                                Support

                                • Subscription Plans
                                • Contact Support
                                • Product Lifecycle
                                • Documentation

                                News

                                • Media Coverage
                                • Press
                                • Events

                                Resources

                                • Blog
                                • FAQ
                                • Find a Partner
                                • Resource Library
                                • Security Information

                                Company

                                • About Us
                                • Careers
                                • Partners
                                • Contact Us
                                • Legal
                                Our Mission

                                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                Subscribe to our Newsletter

                                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                © 2021 Rubicon Communications, LLC | Privacy Policy