Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Непонятное поведение Squid  (Прочитано 2161 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн loki1

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Непонятное поведение Squid
« : 07 Июнь 2012, 20:21:27 »
Провайдер сообщил о странном трафике с адреса фармы.
Смотрю лог Сквида, там кроме активности пользователей вижу это:
(Нажмите, чтобы показать/скрыть)

И далее в таком же стиле и записи вида imdb.com/и_тут_номера_перебераются

Я подумал что это один из компов(как раз убивал троян сегодня в офисе), хоть и странно что без указания ip компьютера откуда запрос шел бы...
Отключил внутреннюю сеть, ситуация не изменилась.

Дело в том, что в Сквиде я особо не разбирался, настроил прозрачный прокси и забыл...
Кто может что-нибудь подсказать?

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Непонятное поведение Squid
« Ответ #1 : 08 Июнь 2012, 14:46:34 »
кто-то ломится отправлять спам либо  у кого-то постоянно долбит почтовик

Оффлайн loki1

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: Непонятное поведение Squid
« Ответ #2 : 09 Июнь 2012, 10:17:18 »
Из вне ломятся? Что можно сделать чтобы прекратить это?

Оффлайн loki1

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: Непонятное поведение Squid
« Ответ #3 : 12 Июнь 2012, 14:34:08 »
Как понять строку такого вида :
1339085525.160      0 173.45.106.120 TCP_DENIED/403 3469 CONNECT 203.138.180.112:25 - NONE/- text/html

Тут ведь нет адреса моего сервера, ни внутреннего, не внешнего...
Может кто подсказать?

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: Непонятное поведение Squid
« Ответ #4 : 12 Июнь 2012, 15:15:06 »
определяется форматом твоего лога , сомтреть в конфиге кальмара. что-то типа этого:
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mtчуть другой правда.
время_unix время_ответа ip_src результат_транзакции/код_ответа размер тип_запроса ip_dst:port и тд
 если кратко:
173.45.106.120 пытается отправить почту на 203.138.180.112:25, в такой попытке отказано

Пользователь решил продолжить мысль 12 Июнь 2012, 15:17:43:
а причем тут твой сервер, твой сервер - это шлюз он присек несанкционированный трафик
« Последнее редактирование: 12 Июнь 2012, 15:18:06 от xeon_greg »

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.