Endian Cache DNS Poluido

[edsonsena]

Bom dia a todos, tenho uma infra-estrutura com o Endian 2.3 instalado e configurado, o mesmo estava funcionando tranquilamente 100%, porem de alguns dias pra ca, estou com o seguinte problema: toda vez que tento acessar um determinado site aqui dentro da empresa o navegador está me direcionando para uma pagina que não tem nada a ver com o site real, testei fora da empresa e acessei o site normalmente, tirei o Endian e coloquei um roteador pra fazer a função de gateway e passei a acessar o site dentro da empresa normalmente, coloquei um outro proxy com o Endian 2.1 e acessei o site normalmente, voltei com o Endian 2.3 e voltei a acessar um outro site que nao tem nada a ver com o real, tracei a rota no shell via ssh e vi que o endian está direcionando para um caminho que não tem nada a ver com o real, todos esses testes me levaram a crer que o endian está me direcionando para algum outro lugar, acredito que possa ser virus, ou DNS Poluido, por isso peço a ajuda de vocês, queria aproveitar para saber como faço a limpeza do cache do proxy e a limpeza do cache DNS.

Desde já agradeço

Edson

[Bruno Vicente]

Edson,

Acredito que você tenha desligado a máquina com o Endian 2.3 para fazer os testes, e acho que isto seria suficiente para renovar as entradas do cache destes serviços.

Qual o DNS configurado no Endian 2.3?

Você está usando DNS proxy?

Tem alguma rota configurada?

[]’s

[edsonsena]

Bruno Obrigado pela atenção,

Na realidade estou apenas fazendo encaminhamento do DNS, encaminho para o do google mesmo 8.8.8.8 e 8.8.4.4 ou para algum free. Nao uso o DNS proxy e não tenho nenhuma rota configurada. Realmente ja desliguei a maquina e voltou com o mesmo problema, o engraço é que formatei a maquina e instalei a versão 2.4, passou 4 dias e esta nova instalação voltou a encaminhar o site para um lugar que não tem nada a ver com o site real, tracei a rota novamente e o final da rota foi para em um dominio chamado: (163.bobsmortuary.com) com o ip = 75.125.225.163, ja pesquisei na net para tentar descobrir alguma coisa mais ainda não obtive sucesso.

[Bruno Vicente]

É Edson, a questão parece ser mais complicada do que me parecia.

Esta rota que traçou foi a partir do Endian ou de uma estação da sua rede?

O problema só é notado no acesso a um endereço específico?

Pode nos fornecer informações sobre o seu link internet?

Não sei não, mas pode ter relação com vírus, mas especificamente o Conficker.

[edsonsena]

Bruno,

Tracei essa rota a partir do ssh do endian, quando traço essa rota em alguma estação windows (via dos), vai direto e corretamente pro servidor onde o site está hospedado via browser vai pra um site que não tem nada a ver com o real. Está acontecendo em um link especifico, somente para o site da empresa onde trabalho que é: http://www.saaeguanhaes.com.br . Engraçado é que tenho um proxy reserva rodando o endian 2.1 e quando estou com ele o problema não acontece.

Agradecido

Edson

[rodrigo.evildead]

Edson eu sei que já faz muito tempo mas você lembra o que fez para resolver este problema? Estamos enfrentando algo parecido aqui onde um dominio especifico está sendo resolvido para este mesmo server que você postou.

Agradecido

Rodrigo de Souza

[Dennye Garcia]

Vc tem dns interno? Linux ou Windows?

[rodrigo.evildead]

Dennye,

Então fora o endian temos um servidor de AD que fornece as autenticações para os serviços da rede (inclusive para o endian), mas não acredito que tenha qualquer tipo de ligação com o problema em questão.

Em uma breve pesquisa no diretório /etc verifiquei que o que está fazendo ele direcionar para 75.125.225.163 é a entrada abaixo que fica no arquivo /etc/dnsmasq/blackholedns.conf

address=/microsoft.com/75.125.225.163

Todos os domínios contidos neste arquivo estão apontando para este mesmo endereço, o que eu não tenho certeza se é algo normal, se alguém puder confirmar isso eu ficaria contente.=D

Removi esta entrada, reiniciei o dnsmasq e o site voltou a abrir, mas fiquei com a pulga atras da orelha do porque que havia acontecido isso.

Quando pensei que estava tudo ok, o problema voltou e ao analisar verifiquei que o .conf em questão é um link simbólico para /var/signatures/dnsmasq/blackholedns.conf, sendo que o mesmo por se tratar de signature é atualizado frequentemente, e foi esta atualização que trouxe de volta a entrada da Microsoft.

Agora estamos pesquisando se há algum problema no serviço que fornece estas “assinaturas”

Conteúdo do /etc/dnsmasq/dnsmasq.conf

domain-needed

bogus-priv

resolv-file=/etc/dnsmasq/resolv.conf

user=dnsmasq

group=dnsmasq

bogus-nxdomain=64.94.110.11

conf-file=/var/signatures/dnsmasq/blackholedns.conf

conf-dir=/etc/dnsmasq/dnsmasq.d

cache-size=2048

Se alguém puder verificar a sua configuração e confirmar se está igual a minha ficarei mais tranquilo quanto a possibilidade de alteração maliciosa do mesmo.

Obs: Nosso endian é o 2.5.1

Agradecido

Rodrigo de Souza

[ronaldodavi]

Troque a senha do seu endian recomendo inclusive que você atualizer a versão ta bem antiga

http://www.malwaredomains.com/bhdns.html

http://www.efwsupport.com/index.php?topic=2420.0

[Dennye Garcia]

Desativa o proxy dns.

[Marco Aurélio]

Pessoal,

Tive um problema semelhante há pouco tempo atrás.

Com o Proxy DNS ativado para a Rede Verde não navegava para nenhum lugar.

Desativei o Proxy DNS e voltou a funcionar normalmente.

Coloquei esta questão aqui no fórum, mas não obtive uma resposta ou solução para o problema.

[Autor]

Posts