Eliminar possível vírus do pfSsense
-
Olá, Como vai?
Tenho notado um comportamento esquisito no meu pfSense e gostaria que vocês me ajudassem com isso se poderem!
É o seguinte:
Toda vez que acesso o link console.google.com o site apresenta uma barra laranja no topo da página, essa mensagem aparece em russo e em alguns casos em português mesmo, nesta mensagem ele informa que o domínio não está registrado e fica convidando a comprar o domínio acima citado.Meu pfSense está na versão 2.4.3
tenho um link dedicado e uma fibra óptica da vivo em modo bridge fornecendo internet em loadbalance.
Não tenho o Squid instalado.
Não tenho regras de bloqueio configuradas.Alguém tem alguma informação sobre o porque disso ou poderia me apontar um solução para corrigir esse problema?
Segue imagem do que aparece na página quando acesso o site:
-
Essa mensagem ocorre com qualquer máquina que se faça acesso a este endereço?
-
@ghislenidroid Acontece em Qualquer máquina que rode Linux e Android. Testei no Windows e está normal!
-
@helton Testei aqui no meu Linux, a pagina não abre!!!!
Primeiro para que serve esse endereço?? pq vc acessa ele?
O que vc poderia fazer é criar uma regra no firewall na LAN bloqueando todo o acesso da sua Lan para o endereço console.google.com -
@andrezaomac Então... no cenário normal é exatamente isso que deveria acontecer! (a página não abrir!) mas dentro da rede gerenciada pelo pfSense o site apresenta essa tela com barra laranja!
Por isso acho que possa ser algum tipo de infecção no pfSense mas até agora não encontrei nada que sustente a suspeita!
Mas respondendo a sua pergunta, Esse endereço foi digitado por acidente quando estávamos tentando acessar a página do developers.google.com e com isso nos deparamos com essa surpresa!
E uma vez que o pfSense é o Canal principal da minha rede estou buscando uma forma de remover este vírus dele.
Uma coisa que percebi é que quando digito esse endereço diretamente no barra de navegação o navegador não aplica o protocolo "https://" e sim o "http://" apenas. E tem mais uma coisa, no protocolo https a mensagem não aparece.
Entendeu?
-
@helton Provavelmente a infecçao está em seu computador e não no pfSense!
Teste seu computador em outra rede.
-
@andrezaomac Já fiz isso! Nas outras redes não acontece nada! Agora pelo pfSense acontece. Não sei se estou falando besteira mas besquisei aqui e o endereço de encaminhamento do link pela barra laranja leva para um tal de http://dnm.snbox.ru/admin/contact/index.php?domain=google.com e aparentemente este link pertence a um agente malicioso identificado como DNM mas não sei como removê-lo do pfSense pode me ajudar nessa empreitada para ver se não estou falando besteira?
-
@helton Eu administro mais de 15 servidores pfSense, fora meus clientes de consultoria.
Eu nunca presenciei nenhum servidor com vírus.
Quando me deparo com situações semelhante, por seguração eu bloqueio a entrada/saída do IP "malicioso" e pronto já fica tudo resolvido. -
@andrezaomac Interessante! Para criar a Regar é necessário ter o Squid Instalado no pfSense ou posso criar uma regra específica para este caso sem o Squid? e se não for pedir demais pode me ajudar nos passos? é que eu não estou com o conhecimento tão avançado como o seu no pfSense!
-
@helton Não precisa do Squid!!!!
Primeiro descubra o IP desse site malicioso, e marque tbm o domínio.
Vá em Firewall>>Aliases e crie uma nova, e adicione o domínio e o IP maliciosos nessa nova Aliases.
Depois Vá para Firewall>> Regras>> na aba WAN, e crie uma nova regra, onde a ORIGEM vc coloca a Aliases que vc criou eo restante vc deixa como Any.Depois na em Firewall>>Regras>> na aba LAN, vc faz a mesma coisa, porem em ORIGEM vc deixa ANY e em DESTINO vc coloca sua Aliases.
Feito isso é só salvar e aplicar, e assim sua rede não terá mais acesso!! -
Eu diria que o bloqueio ao site seria apenas um band aid, para esse tipo de coisa você deve procurar a raíz do problema pois essa barra muito provavelmente não é exclusiva desse site que você tentou acessar e deve aparecer em outros também.
Como foi em um endereço incorreto que apareceu, eu testaria outros endereços inexistentes pra ver o comportamento. Meu palpite é que é algo no DNS, sugiro você alterar o que está usando por algum outro para testar.
Também vale rodar um tcpdump aí no pfSense ou o Wireshark no seu computador mesmo pra ver se acha algo no caminho que indique melhor o que pode ser.
-
Pra mim é nítido que o primeiro serviço a investigar é o dns. Se estiver usando algum encaminhador, retire.
-
Pessoal,
Encontrei o Causa do problema! O motivo da mensagem aparecer estava relacionada ao nome do host e seu domínio! na estrutura que eu montei o meu pfSense, o dominio finalizava em (.com) Ex. nomedohost.nomedodominio.com e por algum motivo que eu não descobri (suponho que seja mesmo algo relacionado ao DNS) isso estava implicando em um desvio do site. Diante dessa descoberta eu alterei o final do endereço, feito isso os acessos normalizaram.
Agradeço a colaboração de todos os envolvidos foi muito útil a participação de vocês!
Até Mais!!!