Eliminar possível vírus do pfSsense



  • Olá, Como vai?

    Tenho notado um comportamento esquisito no meu pfSense e gostaria que vocês me ajudassem com isso se poderem!

    É o seguinte:
    Toda vez que acesso o link console.google.com o site apresenta uma barra laranja no topo da página, essa mensagem aparece em russo e em alguns casos em português mesmo, nesta mensagem ele informa que o domínio não está registrado e fica convidando a comprar o domínio acima citado.

    Meu pfSense está na versão 2.4.3
    tenho um link dedicado e uma fibra óptica da vivo em modo bridge fornecendo internet em loadbalance.
    Não tenho o Squid instalado.
    Não tenho regras de bloqueio configuradas.

    Alguém tem alguma informação sobre o porque disso ou poderia me apontar um solução para corrigir esse problema?

    Segue imagem do que aparece na página quando acesso o site:

    0_1532702537619_Captura de tela de 2018-07-27 11-11-19.png



  • Essa mensagem ocorre com qualquer máquina que se faça acesso a este endereço?



  • @ghislenidroid Acontece em Qualquer máquina que rode Linux e Android. Testei no Windows e está normal!



  • @helton Testei aqui no meu Linux, a pagina não abre!!!!

    Primeiro para que serve esse endereço?? pq vc acessa ele?
    O que vc poderia fazer é criar uma regra no firewall na LAN bloqueando todo o acesso da sua Lan para o endereço console.google.com



  • @andrezaomac Então... no cenário normal é exatamente isso que deveria acontecer! (a página não abrir!) mas dentro da rede gerenciada pelo pfSense o site apresenta essa tela com barra laranja!

    Por isso acho que possa ser algum tipo de infecção no pfSense mas até agora não encontrei nada que sustente a suspeita!

    Mas respondendo a sua pergunta, Esse endereço foi digitado por acidente quando estávamos tentando acessar a página do developers.google.com e com isso nos deparamos com essa surpresa!

    E uma vez que o pfSense é o Canal principal da minha rede estou buscando uma forma de remover este vírus dele.

    Uma coisa que percebi é que quando digito esse endereço diretamente no barra de navegação o navegador não aplica o protocolo "https://" e sim o "http://" apenas. E tem mais uma coisa, no protocolo https a mensagem não aparece.

    Entendeu?



  • @helton Provavelmente a infecçao está em seu computador e não no pfSense!

    Teste seu computador em outra rede.



  • @andrezaomac Já fiz isso! Nas outras redes não acontece nada! Agora pelo pfSense acontece. Não sei se estou falando besteira mas besquisei aqui e o endereço de encaminhamento do link pela barra laranja leva para um tal de http://dnm.snbox.ru/admin/contact/index.php?domain=google.com e aparentemente este link pertence a um agente malicioso identificado como DNM mas não sei como removê-lo do pfSense pode me ajudar nessa empreitada para ver se não estou falando besteira?



  • @helton Eu administro mais de 15 servidores pfSense, fora meus clientes de consultoria.
    Eu nunca presenciei nenhum servidor com vírus.
    Quando me deparo com situações semelhante, por seguração eu bloqueio a entrada/saída do IP "malicioso" e pronto já fica tudo resolvido.



  • @andrezaomac Interessante! Para criar a Regar é necessário ter o Squid Instalado no pfSense ou posso criar uma regra específica para este caso sem o Squid? e se não for pedir demais pode me ajudar nos passos? é que eu não estou com o conhecimento tão avançado como o seu no pfSense!



  • @helton Não precisa do Squid!!!!

    Primeiro descubra o IP desse site malicioso, e marque tbm o domínio.
    Vá em Firewall>>Aliases e crie uma nova, e adicione o domínio e o IP maliciosos nessa nova Aliases.
    Depois Vá para Firewall>> Regras>> na aba WAN, e crie uma nova regra, onde a ORIGEM vc coloca a Aliases que vc criou eo restante vc deixa como Any.

    Depois na em Firewall>>Regras>> na aba LAN, vc faz a mesma coisa, porem em ORIGEM vc deixa ANY e em DESTINO vc coloca sua Aliases.
    Feito isso é só salvar e aplicar, e assim sua rede não terá mais acesso!!



  • Eu diria que o bloqueio ao site seria apenas um band aid, para esse tipo de coisa você deve procurar a raíz do problema pois essa barra muito provavelmente não é exclusiva desse site que você tentou acessar e deve aparecer em outros também.

    Como foi em um endereço incorreto que apareceu, eu testaria outros endereços inexistentes pra ver o comportamento. Meu palpite é que é algo no DNS, sugiro você alterar o que está usando por algum outro para testar.

    Também vale rodar um tcpdump aí no pfSense ou o Wireshark no seu computador mesmo pra ver se acha algo no caminho que indique melhor o que pode ser.



  • Pra mim é nítido que o primeiro serviço a investigar é o dns. Se estiver usando algum encaminhador, retire.



  • Pessoal,

    Encontrei o Causa do problema! O motivo da mensagem aparecer estava relacionada ao nome do host e seu domínio! na estrutura que eu montei o meu pfSense, o dominio finalizava em (.com) Ex. nomedohost.nomedodominio.com e por algum motivo que eu não descobri (suponho que seja mesmo algo relacionado ao DNS) isso estava implicando em um desvio do site. Diante dessa descoberta eu alterei o final do endereço, feito isso os acessos normalizaram.

    Agradeço a colaboração de todos os envolvidos foi muito útil a participação de vocês!

    Até Mais!!!