[Resolvido] PFSense em constante download [Sob algum ataque]
-
Bom dia,
A mais ou menos 3 dias venho percebendo que o PFSense fica com a taxa de download sempre em 100% ao verificar qual a maquina da rede estava efetuando esse download, verifiquei que era o próprio PFSense.
O PFSense fica sempre baixando algo do ip da Level 3 (Empresa de provedor de Internet).Tenho 2 links 1 da Neovia e outro da Net.
-
Está impossível essa situação, ninguém está navegando !!!
Seria isso um ataque ?
-
Faz um teste:
Instala o pacote: iftope pelo terminal roda o comando na interface WAN:
exemplo: iftop -i rl0Veja se consegue ver o trafego, endereços, etc
-
A primeira linha, esse IP fica o tempo todo em download..
 -
Quando faço uma busca de informações do ip sempre leva a empresa LEVEL 3
-
esse ip 200 é uma estação ? pode está com virus.. um botnet.
-
Esse ip 200 é o próprio PFSense (Interface de WAN)
-
Estranho que quando paro serviço do SQUID essa transferência louca para…
-
Já tive problemas semelhante é era um extensão do chrome das estações,
tente ver no log do squid para ver se encontra a origem, pois vai ser o pfsense mesmo o download mas a requisição vem de alguma estação… -
Ja tive esse problema, parava o squid e o download parava e voltava ao normal, mas o ip que puxava todo o trafego era um da google… mas ai tinha sido lançado a versão 2.1.4 do pfsense atualizei e nao deu mais bronca...
-
Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk ::) :o
Mas cara, não parece ser ataque não… -
Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk ::) :o
Mas cara, não parece ser ataque não…Particularmente no seu caso como descobriu e como resolveu?
-
Meu patrão ficou louco esses dias kkkk' Estavam fazendo download por torrent e quando ele viu 260 ips diferentes de países aleatórios quase saiu puxando tudo da tomada! kkkkkk ::) :o
Mas cara, não parece ser ataque não…Particularmente no seu caso como descobriu e como resolveu?
Então, calhou que meu patrão veio informar que estávamos sendo atacados, que haviam vários ip's russos, alemão, frança, etc… Mas sabíamos que estávamos baixando um software via torrent, ai foi só parar o torrent que os logs normalizavam.
Mas isso foi so um acaso engraçado...
No seu caso, já que ouvi que o pode ser uma contaminação, é legal fazer um preventivo profundo.
Mas se você diz que o ip que aparece é de uma empresa do seu provedor eu já descartaria essa possibilidade.
Não tenho ideias melhores do que ja foi dito aqui para te passar, mas tente identificar nos processos o que está puxando banda. "Se é resultado, é de algo." e se é algo tecnicamente não é invisível...
Procure investigar o squid, se você disse que dropando ele a transferência para, então esse é o caminho... -
Deve ser algum pau no squid, pois quando todos da empresa foram embora eu permaneci para checar aquela situação. E o download comendo solto.
Como a taxa de download estava em 100% acabou prejudicando 2 vpn's , como tinha uma outra máquina parada não pensei 2x instalei o PFSense e substitui o equipamento.
Problema foi resolvido mas infelizmente não consegui saber com exatidão o erro do PFSense.
