Varias conexoes porta 443

felipeassuncaoj
(usa Debian)

Enviado em 01/03/2011 - 18:27h

Amigos, peço ajuda para tentar entender o que se passa na minha rede.
De uns 20 dias pra cá, tenho detectado uma serie de conexoes para a porta 443. Pensei em trojan ou alguns burlador de proxy (ultrasurf da vida), tenho o symantec end point na empresa, desinstalei e coloquei o avira atualizei e nada... continua aparecendo e o pessoal nao esta usando nenhum tipo de burlador.

olha as danadas ai:

190.245.12.155:443

190.105.45.163:443

200.126.221.28:443

200.104.215.230:443

190.208.35.200:443

190.192.215.101:443

190.160.123.103:443

201.87.96.180:443

201.79.233.181:443

201.53.8.201:443

201.223.230.99:443

201.19.83.73:443

190.77.89.143:443

190.74.51.8:443

190.47.164.26:443

190.247.30.199:443

190.161.155.200:443

189.63.69.92:443

189.60.139.155:443

189.113.206.233:443

187.79.108.25:443

187.10.8.105:443

186.92.178.30:443

186.206.217.40:443

186.18.66.219:443

186.105.94.23:443

143.107.140.15:443

24.232.42.221:443

s1.4publishers.com:443

201.52.172.96:443

201.252.136.242:443

201.250.45.251:443

201.239.13.95:443

201.234.220.43:443

201.231.3.155:443

200.83.7.192:443

200.126.238.220:443

190.254.41.18:443

190.191.12.17:443

190.18.222.126:443

190.179.3.201:443

190.172.9.84:443

190.17.215.206:443

190.16.33.32:443

189.46.239.231:443

189.46.169.161:443

189.120.251.26:443

189.1.170.179:443

eduardo
(usa Linux Mint)

Enviado em 01/03/2011 - 20:33h

Esses acessos vem de apenas uma máquina? De onde eles vem?

felipeassuncaoj
(usa Debian)

Enviado em 01/03/2011 - 22:33h

Amigo,

são de +- 5 maquinas da minha LAN de um total de 30. Acabei de passar o panda online e nada tbem.

eh um server squid+iptables.

eduardo
(usa Linux Mint)

Enviado em 01/03/2011 - 22:46h

Cara, acho que isso é um vírus que peguei na rede de um cliente dia desses. O vírus abria trocentas conexões (meu server bloqueava, porém consumia processamento). Antivírus não tira isso, mas não sei como foi tirado, pois passei isso para a Assistência de Computadores.

Dei um dig em alguns desses IPs e todos apontam para o verisign (que não tem nada a ver com vírus). Te ajuda em algo?

renato_pacheco
(usa Debian)

Enviado em 01/03/2011 - 22:48h

Kra, antivírus nenhum vai pegar isso ae. O lance é vc averiguar de onde está surgindo essas conexões (quais máquinas estão fazendo essas solicitações?). Utilize um sniffer (tcpdump, wireshark) e tente detectar a origem. A partir dae vc olha os processos q estão rodando nessas máquinas.

felipeassuncaoj
(usa Debian)

Enviado em 02/03/2011 - 15:30h

Obrigado pela boa vontade em ajudar.

legal o dig. porem quando dou um dig para um endereço inexistente tipo go3283737ccc.com ele aponta para o verisign-grs.com. o que concluo eh que aqueles ips acima nao existem, por que apontam para o verisign tbem, estou certo??

hoje comecei a analisar o trefego de uma maquina geradora de ip para a 443 tcpdump.

os processos de todas as maquinas estão OK.

obrigado;

eduardo
(usa Linux Mint)

Enviado em 02/03/2011 - 16:09h

Bah, essa do verisign ai não sabia. Aprendendo todo dia :P