RES: [GTER] Problema em cache

MARLON BORBA MBORBA at trf3.gov.br
Wed Apr 6 14:19:46 -03 2005 

Já verificou se sua máquina não possui esquecido um serviço SMTP aberto para a Internet? Se seu "proxy" Web não está sendo usado como "relay" (através de URLs cuidadosamente construídas é possível até fazer com que o Squid aja como um MX)? Se ela não foi comprometida por alguma vulnerabilidade?
 
Quanto aos "logs" do "proxy", a configuração deve permitir que se adicione o endereço de origem do cliente (embora este possa ser, também, algum equipamento "ownado").

De qualquer forma esteja certo de ter atualizado o "software" dessa máquina com as versões e/ou correções mais recentes para garantir que possíveis vulnerabilidades tenham sido cobertas. Isso se aplica a quaisquer pacotes empregados nessa máquina ("proxy", coletores de estatísticas e outros).

Em todo caso uma análise do "log" mostraria as requisições chegando ao seu "proxy" e pelo formato destas seria também possível ter uma idéia de como o invasor utilizou sua máquina. Há pouco tempo investiguei um caso de invasão e constatei que o atacante valeu-se de uma vulnerabilidade no pacote de estatística Awstats para plantar seus executáveis malignos em um diretório. Como observei isso? Pelos "logs" do próprio Apache.


Abraços,
Marlon Borba, CISSP.

"Você prefere sua estabilidade hoje ou
sua felicidade amanhã?"
--Max Gehringer, na CBN.

>>> aquino at ECOSISTEMAS.COM.BR 6/4/2005 14:06:37 >>>

Ela pode ter sido invadida , voce ja pensou nisso ?

 http://www.zone-h.org 

Lucio

-----Mensagem original-----
De: Elio [mailto:elio at bragnet.com.br] 
Enviada em: quarta-feira, 6 de abril de 2005 14:04
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: [GTER] Problema em cache



Pessoal reciso de uma luz:
No nosso provedor nós fazemos caache de páginas web.

Recebi um comunicado do abuse dizendo que esta máquina estava fazendo SPAM.

Ora, ela só cacheia! Logo, deve ser algum cliente fazendo spam através de
alguma página web (ou será que tem outra hipótese?)

Desta maneira fica difícil descobrir quem é o cara pois no relatório só vou
conseguir obter uma porção de endereços web.

Então, a pergunta é: alguém teve problema semelhante? Se sim, conseguiu
resolver?
Ou alguém tem alguma dica?

Valeu

Elio Somaschini

Bragnet


--
gter list    https://eng.registro.br/mailman/listinfo/gter 

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list