Denuncie   Favoritos   Indicar  

Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

1. Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

JHONATAN DA SILVA SANT ANA
JhonatanSantAna
(usa Ubuntu)

Enviado em 07/12/2017 - 11:38h

Olá! Tenho um servidor proxy rodando o Squid 3.5.12
Notei um comportamento extranho vindo do própio servidor.
Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

Analisando o relatório do Sarg eu tenho:

Site Acessado Usuário
37 178.32.180.206:80 199.101.185.182
38 178.63.247.2:80 199.101.185.182
39 18.181.0.46:80 199.101.185.182
40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
46 182.22.12.120:25 124.110.81.16 36.2.125.29
47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
60 183.79.16.120:25 118.243.89.35 124.110.81.16
61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
76 %1Bl$ 45.76.190.235
77 %1D 45.76.190.235
78 2 45.76.190.235
79 203.138.180.112:25 124.110.3.225
80 203.138.180.240:25 124.110.3.225
81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
82 204.79.197.229:80 116.102.80.21
83 206.214.211.166:80 91.186.8.91
84 208.70.245.28:80 73.243.237.82
85 208.79.237.176:80 91.186.8.91
86 209.235.125.193:80 199.101.185.182

Isso apenas parte do log!

De onde podem estar vindo essas requisições? Pode ser um ataque?

Já agradeço a todos!

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 19:48h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



    Agora Sim!

    O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
    Mas confesso que nao sei o que aconteceu

    Rede local:
    interface enp5s0
    range 10.1.0.0/24

    Rede externa:
    interface enp3s0
    range 177.12.176.0/12

    Porta do squid: 3128


    Aconteceu que qualquer PC na internet poderia usar o seu server como proxy, apesar de provavelmente você ter evitado no squid.conf. A sua porta de proxy estava acessível externamente. Então era colocar seu IP e porta e estavam tentando utilizar. Aí você restringiu à apenas sua rede interna, o que eliminou o tráfego indesejável.

    1 0
  • Quote

    • 3. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 11:47h

    JhonatanSantAna escreveu:

    Olá! Tenho um servidor proxy rodando o Squid 3.5.12
    Notei um comportamento extranho vindo do própio servidor.
    Ele não para de fazer solicitações a sites e com isso enche o access.log tornando a rede lenta até travar.

    Monitorando a rede em tempo real pelo tail -f /var/log/squid/access.log me apresenta o seguinte neste momento: (Isto com o cabo da rede interna Desconectado!)

    1512652962.584 0 176.9.5.54 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.593 0 144.76.29.140 TAG_NONE/501 4249 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.598 0 176.9.5.54 TCP_DENIED_ABORTED/403 4245 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.599 0 176.9.5.54 TAG_NONE/501 4051 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.601 0 78.46.88.204 TCP_DENIED/407 4371 GET http://144.217.10.135/ajax/servers.php? - HIER_NONE/- text/html
    1512652962.615 0 120.77.59.113 TCP_DENIED/407 3950 CONNECT kyfw.12306.cn:443 - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TAG_NONE/501 4187 GET https://www.ptt-shop.com/ - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TCP_DENIED/403 4263 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.617 0 148.251.10.164 TCP_DENIED_ABORTED/403 4218 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.618 0 144.76.29.140 TCP_DENIED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.619 0 144.76.29.140 TCP_DENIED_ABORTED/403 4171 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html
    1512652962.619 0 148.251.10.164 TCP_DENIED/403 4180 GET http://www.passe-ptt.com/ - HIER_NONE/- text/html

    Analisando o relatório do Sarg eu tenho:

    Site Acessado Usuário
    37 178.32.180.206:80 199.101.185.182
    38 178.63.247.2:80 199.101.185.182
    39 18.181.0.46:80 199.101.185.182
    40 182.22.12.113:25 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.7 183.177.201.30 210.146.236.26 36.2.122.178 60.239.222.55
    41 182.22.12.114:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.85.192.231 183.177.201.30 222.230.62.97
    42 182.22.12.116:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30 210.146.236.26 36.2.122.178 36.2.124.155 60.239.222.55
    43 182.22.12.117:25 118.243.89.35 124.110.3.150 124.110.81.7 124.85.192.231 210.146.236.26 222.230.62.97 36.2.120.162 36.2.125.187 36.2.125.29 36.2.150.67 60.239.222.55
    44 182.22.12.118:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.250 124.85.192.231 36.2.120.162 36.2.125.187 36.2.150.67 60.239.222.55
    45 182.22.12.119:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97
    46 182.22.12.120:25 124.110.81.16 36.2.125.29
    47 182.22.12.243:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.250 124.85.192.231 183.177.201.30 222.230.62.97 36.2.122.178 36.2.125.29 60.239.222.55
    48 182.22.12.244:25 115.177.4.36 124.110.3.150 124.110.81.206 124.110.81.216 124.85.192.231 222.230.62.97 36.2.122.178 36.2.125.187 60.239.222.55
    49 182.22.12.246:25 124.110.81.16 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 36.2.120.162 36.2.122.178 36.2.123.19
    50 182.22.12.247:25 115.177.4.36 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.250 124.110.81.7
    51 182.22.12.248:25 115.177.4.36 118.243.89.35 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.85.192.231 183.177.201.30
    52 182.22.12.249:25 118.243.89.35 124.110.3.150 124.110.4.31 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.250 124.110.81.7
    53 182.22.12.250:25 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187
    54 183.79.16.113:25 115.177.4.36 124.110.4.31 124.110.81.206 124.110.81.250 124.110.81.7 222.230.62.97 36.2.122.178 36.2.123.19 36.2.125.187 60.239.222.55
    55 183.79.16.114:25 118.243.89.35 124.110.3.150 124.110.81.16 124.110.81.206 124.110.81.216 124.110.81.7 210.146.236.26 36.2.120.162 36.2.122.178 36.2.125.187
    56 183.79.16.116:25 118.243.89.35 124.110.81.16 124.110.81.250 183.177.201.30 210.146.236.26 36.2.120.162 36.2.124.155 36.2.125.29 36.2.150.67 60.239.222.55
    57 183.79.16.117:25 115.177.4.36 118.243.89.35 124.110.81.206 124.110.81.250 210.146.236.26 36.2.120.162 60.239.222.55
    58 183.79.16.118:25 118.243.89.35 124.110.3.150 124.110.81.206 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
    59 183.79.16.119:25 124.110.4.31 124.110.81.206 124.110.81.216 124.110.81.250 124.85.192.231 183.177.201.30 210.146.236.26
    60 183.79.16.120:25 118.243.89.35 124.110.81.16
    61 183.79.16.243:25 124.110.3.150 124.110.81.16 124.110.81.216 124.110.81.7 124.85.192.231 183.177.201.30 210.146.236.26 36.2.120.162 36.2.123.19 36.2.125.187 36.2.125.29
    62 183.79.16.244:25 115.177.4.36 118.243.89.35 124.110.81.16 124.85.192.231 183.177.201.30 210.146.236.26 222.230.62.97 36.2.120.162 36.2.122.178 36.2.123.19 36.2.124.155
    76 %1Bl$ 45.76.190.235
    77 %1D 45.76.190.235
    78 2 45.76.190.235
    79 203.138.180.112:25 124.110.3.225
    80 203.138.180.240:25 124.110.3.225
    81 204.79.197.200:80 104.254.212.105 115.74.24.115 116.102.80.21 132.255.70.21 163.172.69.220
    82 204.79.197.229:80 116.102.80.21
    83 206.214.211.166:80 91.186.8.91
    84 208.70.245.28:80 73.243.237.82
    85 208.79.237.176:80 91.186.8.91
    86 209.235.125.193:80 199.101.185.182

    Isso apenas parte do log!

    De onde podem estar vindo essas requisições? Pode ser um ataque?

    Já agradeço a todos!



    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    0 0
  • Quote

    • 4. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 11:54h

    LSSilva escreveu:

    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    modprobe ip_tables
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

    Ele navega externamente. mas sozinho?

    0 0
  • Quote

    • 5. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 12:38h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Seu proxy não está aberto para redes externas?
    Teria como postar seu script de firewall?


    modprobe ip_tables
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

    Ele navega externamente. mas sozinho?


    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.

    0 0
  • Quote

    • 6. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 13:05h

    LSSilva escreveu:

    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.


    Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

    Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
    Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

    Já formatei uma nova máquina e o problema continuou =/

    0 0
  • Quote

    • 7. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 07/12/2017 - 14:02h

    JhonatanSantAna escreveu:

    LSSilva escreveu:

    Então, acontece o seguinte...
    Seu proxy pode ser utilizado pela internet, pois não há regra que garanta que ele funcione apenas na rede local.

    Para resolver, vamos supor que sua interface de rede local é "eth0" e que a porta do proxy é "3128"; que a faixa de rede local é "192.168.0.0/24", terá que alterar estes parâmetros para adequar à sua rede. Então adicione no script:

    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -p tcp --dport 3128 -j DROP

    Isso deve evitar acessos externos no proxy.


    Com isto todas as conexões ficaram bloqueadas. Os clientes não acessam a internet por conta do DROP.

    Esse meu servidor é um proxy com squid que fornece a internet para os clientes.
    Sei que problema está nele já que desconecto a rede interna e mesmo assim meu log nao para

    Já formatei uma nova máquina e o problema continuou =/


    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?

    0 0
  • Quote

    • 8. Re: Servidor proxy com acesso exagerado na rede! [RESOLVIDO]

    JHONATAN DA SILVA SANT ANA
    JhonatanSantAna
    (usa Ubuntu)

    Enviado em 07/12/2017 - 14:20h

    LSSilva escreveu:

    Ué, não tem porquê isso acontecer...
    Vamos fazer melhor então.
    Vamos supor que sua placa de internet é eth1
    Então tente:
    iptables -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --dport 3128 -m state --state NEW --syn -j ACCEPT
    iptables -A INPUT -i eth1 -p tcp --dport 3128 -j DROP

    Lembrando que tem que ajustar de acordo com sua rede.
    Quais são suas placas de rede e a porta do squid e o range de IP na rede local?



    Agora Sim!

    O drop na placa externa com a porta 3128 eliminou a nevegação infindável que acontecia no meu servidor.
    Mas confesso que nao sei o que aconteceu

    Rede local:
    interface enp5s0
    range 10.1.0.0/24

    Rede externa:
    interface enp3s0
    range 177.12.176.0/12

    Porta do squid: 3128

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    Função que recebe 20 números inteiros e retorna o 6° maior elemento do... (2)

    Kernel panic not syncing (0)

    Melhorando a precisão de valores flutuantes em python[RESOLV... (15)

    Mint começou a apresentar varios erros (2)

    Recuperar arquivos de HD em formato RAW usando Linux (1)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: