Saber IP da maquina que usuário logou no squid

1. Saber IP da maquina que usuário logou no squid

Fernando William
fernandowilliam

(usa Outra)

Enviado em 26/11/2012 - 09:03h

Olá amigos,
tenho em minha rede rodando o squid/sarg, tenho certeza de que algum usuário com restrições conseguiu a senha de um usuário sem restrições de acesso a internet. Posso simplesmente alterar a senha ou nome de usuário ou movê-lo de grupo, mas preciso saber quem esta fazendo isso. Para isso preciso saber pelo menos qual ip ele usava no momento da conexão, tenho os relatórios do sarg, mas eles só mostram o nome do usuário, site, tempo gasto tamanho de dados navegados, mas nao mostram o ip que ele usava no momento da conexão. Poderiam me ajudar?
Desde já agradeço.


  


2. Re: Saber IP da maquina que usuário logou no squid

Perfil removido
removido

(usa Nenhuma)

Enviado em 26/11/2012 - 09:09h

# tail -100000 /var/log/squid3/access.log | grep usuario

Vai te listar assim:

1353928153.545   1291 10.1.0.2 TCP_MISS/302 566 POST http://www.vivaolinux.com.br/comunidades/replyTopico.php usuario DIRECT/174.123.53.162 text/html
1353928153.716 168 10.1.0.2 TCP_MISS/301 596 GET http://www.vivaolinux.com.br/comunidades/verTopico.php? usuario DIRECT/174.123.53.162 text/html


Caso queira resolver o timestamp...

# vi /usr/local/sbin/timestampsquid.sh
#!/bin/bash

while read linha
do
tempo="`echo $linha|cut -d\. -f1`"
legivel="`date -d @$tempo`"
echo $linha|sed "s/${tempo}\.[0-9]\+ /$legivel /"

done


# chmod +x /usr/local/sbin/timestampsquid.sh

# tail -100000 /var/log/squid3/access.log | grep usuario | timestampsquid.sh

Seg Nov 26 09:10:55 BRST 2012 160 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 274 GET http://img.vivaolinux.com.br/comunidades/imagens/membros_ico.png usuario DIRECT/174.123.53.162 -
Seg Nov 26 09:10:55 BRST 2012 160 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 274 GET http://img.vivaolinux.com.br/imagens/forbidden.gif usuario DIRECT/174.123.53.162 -
Seg Nov 26 09:10:56 BRST 2012 162 10.1.0.2 TCP_REFRESH_UNMODIFIED/304 282 GET http://img.vivaolinux.com.br/imagens/fotos/desconhecido.jpg usuario DIRECT/174.123.53.162 -





3. Show

Fernando William
fernandowilliam

(usa Outra)

Enviado em 26/11/2012 - 11:18h

Muito obrigado, consegui identificar!


4. Re: Saber IP da maquina que usuário logou no squid

Perfil removido
removido

(usa Nenhuma)

Enviado em 26/11/2012 - 11:26h

fernandowilliam escreveu:

Muito obrigado, consegui identificar!


Beleza!

Precisando estamos ai!

Abraço!


5. Squid 2.7

Wellington Maciel de Souza
cabralwms

(usa Debian)

Enviado em 08/04/2013 - 08:10h

Bom dia pessoal, estou com um problema, eu configurei o squid e o firewall tudo certinho mais acho que mesmo assim alguém conseguiu descobrir como driblar isso alguém poderia me ajudar a identificar?

usei o comando tail -100000 /var/log/squid/access.log | grep IP olha o que me mandou na tela

1365418318.454 30 192.168.0.28 TCP_DENIED/403 1512 GET http://tbupdate.zugo.com/ztb/2.4/jsi/hosts.js? - NONE/- text/html
1365418318.454 11 192.168.0.28 TCP_DENIED/403 1474 GET http://utrack.zugo.com/reg? - NONE/- text/html
1365418318.915 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418321.806 5 192.168.0.28 TCP_DENIED/403 1528 GET http://fxfeeds.mozilla.com/pt-BR/firefox/headlines.xml - NONE/- text/html
1365418339.429 0 192.168.0.28 TCP_DENIED/403 1468 GET http://www.facebook.com/ - NONE/- text/html
1365418339.477 0 192.168.0.28 TCP_DENIED/403 1490 GET http://www.facebook.com/favicon.ico - NONE/- text/html
1365418360.898 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.digicert.com/ - NONE/- text/html
1365418416.817 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418540.465 8 192.168.0.28 TCP_DENIED/403 1544 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1365418600.485 9 192.168.0.28 TCP_DENIED/403 1544 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1365418677.769 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418700.136 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418867.052 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418915.797 10 192.168.0.28 TCP_DENIED/403 1510 GET http://tbupdate.zugo.com/ztb/update/firefox/? - NONE/- text/html
1365418916.372 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418916.596 4 192.168.0.28 TCP_DENIED/403 1488 POST http://evsecure-ocsp.verisign.com/ - NONE/- text/html
1365418917.295 5 192.168.0.28 TCP_DENIED/403 1508 GET http://evsecure-crl.verisign.com/pca3-g5.crl - NONE/- text/html
1365418917.509 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418917.533 4 192.168.0.28 TCP_DENIED/403 1470 POST http://ocsp.verisign.com/ - NONE/- text/html
1365418919.780 5 192.168.0.28 TCP_DENIED/403 1478 GET http://download.mozilla.org/? - NONE/- text/html
1365418919.994 5 192.168.0.28 TCP_DENIED/403 1478 GET http://download.mozilla.org/? - NONE/- text/html

como saber que está pelo squid e sendo bloqueado?


6. Re: Saber IP da maquina que usuário logou no squid

Perfil removido
removido

(usa Nenhuma)

Enviado em 08/04/2013 - 08:22h

cabralwms escreveu:



como saber que está pelo squid?


Você está capturando os logs do squid.


como saber se está sendo bloqueado?


TCP_DENIED/403


7. problema que tenho certeza que consegue passar por ele

Wellington Maciel de Souza
cabralwms

(usa Debian)

Enviado em 08/04/2013 - 09:10h

tipo tenho o contato da pessoa no facebook e vejo ela on-line em horários não permitido certeza que está com alguma falha. só não sei o que pode ser?
Alguem tem uma alternativa que tipo eu crie no firewall forçando o IP a passar pela porta do Squid 3128?
Eu vi que um funcionário me contou que copia e cola um link no navegador só que não sei que link é talvez eles mudem algo no proxy do Firefox e consigam driblar o squid


8. Re: Saber IP da maquina que usuário logou no squid

Perfil removido
removido

(usa Nenhuma)

Enviado em 08/04/2013 - 09:34h

Continue monitorando o access.log, veja se não está passando algum kproxy. Minha sugestão e usar o iptables com politica padrão DROP e usar um filtro de conteúdo atrelado ao Squid. Eu gosto muito do dansguardian. Tem uma blacklist que já bloqueia uma grande quantidade de kproxys.


9. Vlw pela dica

Wellington Maciel de Souza
cabralwms

(usa Debian)

Enviado em 08/04/2013 - 10:02h

Vou verificar isso eu trabalho com squid algum tempo, mais ultimamente cada usuário aparece com uma surpresa.
Vou ver como instalar o dansguardian brigadão mesmo


10. acesso indevido mesmo com bloqueios

Wellington Maciel de Souza
cabralwms

(usa Debian)

Enviado em 24/04/2013 - 12:20h

Então verifiquei e acho que estão usando o facebook através do link com https://www.facebook.com.br
Alguem tem uma solução para esse tipo de acesso?

Não posso bloquear a porta 443 pq ai os programas dos bancos não funciona



11. Re: Saber IP da maquina que usuário logou no squid

Buckminster
Buckminster

(usa Debian)

Enviado em 24/04/2013 - 12:32h

cabralwms escreveu:

Então verifiquei e acho que estão usando o facebook através do link com https://www.facebook.com.br
Alguem tem uma solução para esse tipo de acesso?

Não posso bloquear a porta 443 pq ai os programas dos bancos não funciona


Bloqueia somente para o facebook:

iptables -A FORWARD -i ethx -d facebook.com -p tcp --dport 443 -j DROP
iptables -A INPUT -i ethx -d facebook.com -p tcp --dport 443 -j DROP

Somente tenha o cuidado de inserir essas regras no lugar certo no teu script.
Em ethx você coloca a placa de rede da tua subrede.


12. Outra questão

Wellington Maciel de Souza
cabralwms

(usa Debian)

Enviado em 24/04/2013 - 12:38h

existem maquinas que poderam acessar, tipo, dono, diretor, não posso bloquear deles com essa regra isso vai bloquear para qualquer computador?
tenho que liberar algumas como fazer?




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts