Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Endian Cache DNS Poluido
Marcado: cache, dns, noip no endian, virus
- Este tópico contém 10 respostas, 6 vozes e foi atualizado pela última vez 11 anos, 4 meses atrás por Marco Aurélio.
-
AutorPosts
-
-
setembro 10, 2010 às 1:29 pm #567edsonsenaParticipante
Bom dia a todos, tenho uma infra-estrutura com o Endian 2.3 instalado e configurado, o mesmo estava funcionando tranquilamente 100%, porem de alguns dias pra ca, estou com o seguinte problema: toda vez que tento acessar um determinado site aqui dentro da empresa o navegador está me direcionando para uma pagina que não tem nada a ver com o site real, testei fora da empresa e acessei o site normalmente, tirei o Endian e coloquei um roteador pra fazer a função de gateway e passei a acessar o site dentro da empresa normalmente, coloquei um outro proxy com o Endian 2.1 e acessei o site normalmente, voltei com o Endian 2.3 e voltei a acessar um outro site que nao tem nada a ver com o real, tracei a rota no shell via ssh e vi que o endian está direcionando para um caminho que não tem nada a ver com o real, todos esses testes me levaram a crer que o endian está me direcionando para algum outro lugar, acredito que possa ser virus, ou DNS Poluido, por isso peço a ajuda de vocês, queria aproveitar para saber como faço a limpeza do cache do proxy e a limpeza do cache DNS.
Desde já agradeço
Edson
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
setembro 10, 2010 às 2:04 pm #5987Bruno VicenteParticipante
Edson,
Acredito que você tenha desligado a máquina com o Endian 2.3 para fazer os testes, e acho que isto seria suficiente para renovar as entradas do cache destes serviços.
Qual o DNS configurado no Endian 2.3?
Você está usando DNS proxy?
Tem alguma rota configurada?
[]’s
-
setembro 10, 2010 às 4:26 pm #5988edsonsenaParticipante
Bruno Obrigado pela atenção,
Na realidade estou apenas fazendo encaminhamento do DNS, encaminho para o do google mesmo 8.8.8.8 e 8.8.4.4 ou para algum free. Nao uso o DNS proxy e não tenho nenhuma rota configurada. Realmente ja desliguei a maquina e voltou com o mesmo problema, o engraço é que formatei a maquina e instalei a versão 2.4, passou 4 dias e esta nova instalação voltou a encaminhar o site para um lugar que não tem nada a ver com o site real, tracei a rota novamente e o final da rota foi para em um dominio chamado: (163.bobsmortuary.com) com o ip = 75.125.225.163, ja pesquisei na net para tentar descobrir alguma coisa mais ainda não obtive sucesso.
-
setembro 10, 2010 às 5:02 pm #5989Bruno VicenteParticipante
É Edson, a questão parece ser mais complicada do que me parecia.
Esta rota que traçou foi a partir do Endian ou de uma estação da sua rede?
O problema só é notado no acesso a um endereço específico?
Pode nos fornecer informações sobre o seu link internet?
Não sei não, mas pode ter relação com vírus, mas especificamente o Conficker.
-
setembro 10, 2010 às 6:49 pm #5990edsonsenaParticipante
Bruno,
Tracei essa rota a partir do ssh do endian, quando traço essa rota em alguma estação windows (via dos), vai direto e corretamente pro servidor onde o site está hospedado via browser vai pra um site que não tem nada a ver com o real. Está acontecendo em um link especifico, somente para o site da empresa onde trabalho que é: http://www.saaeguanhaes.com.br . Engraçado é que tenho um proxy reserva rodando o endian 2.1 e quando estou com ele o problema não acontece.
Agradecido
Edson
-
dezembro 13, 2012 às 1:49 pm #5991rodrigo.evildeadParticipante
Edson eu sei que já faz muito tempo mas você lembra o que fez para resolver este problema? Estamos enfrentando algo parecido aqui onde um dominio especifico está sendo resolvido para este mesmo server que você postou.
Agradecido
Rodrigo de Souza
-
dezembro 13, 2012 às 3:11 pm #5992Dennye GarciaParticipante
Vc tem dns interno? Linux ou Windows?
-
dezembro 13, 2012 às 6:04 pm #5993rodrigo.evildeadParticipante
Dennye,
Então fora o endian temos um servidor de AD que fornece as autenticações para os serviços da rede (inclusive para o endian), mas não acredito que tenha qualquer tipo de ligação com o problema em questão.
Em uma breve pesquisa no diretório /etc verifiquei que o que está fazendo ele direcionar para 75.125.225.163 é a entrada abaixo que fica no arquivo /etc/dnsmasq/blackholedns.conf
address=/microsoft.com/75.125.225.163
Todos os domínios contidos neste arquivo estão apontando para este mesmo endereço, o que eu não tenho certeza se é algo normal, se alguém puder confirmar isso eu ficaria contente.=D
Removi esta entrada, reiniciei o dnsmasq e o site voltou a abrir, mas fiquei com a pulga atras da orelha do porque que havia acontecido isso.
Quando pensei que estava tudo ok, o problema voltou e ao analisar verifiquei que o .conf em questão é um link simbólico para /var/signatures/dnsmasq/blackholedns.conf, sendo que o mesmo por se tratar de signature é atualizado frequentemente, e foi esta atualização que trouxe de volta a entrada da Microsoft.
Agora estamos pesquisando se há algum problema no serviço que fornece estas “assinaturas”
Conteúdo do /etc/dnsmasq/dnsmasq.conf
domain-needed
bogus-priv
resolv-file=/etc/dnsmasq/resolv.conf
user=dnsmasq
group=dnsmasq
bogus-nxdomain=64.94.110.11
conf-file=/var/signatures/dnsmasq/blackholedns.conf
conf-dir=/etc/dnsmasq/dnsmasq.d
cache-size=2048
Se alguém puder verificar a sua configuração e confirmar se está igual a minha ficarei mais tranquilo quanto a possibilidade de alteração maliciosa do mesmo.
Obs: Nosso endian é o 2.5.1
Agradecido
Rodrigo de Souza
-
dezembro 13, 2012 às 7:33 pm #5994ronaldodaviParticipante
Troque a senha do seu endian recomendo inclusive que você atualizer a versão ta bem antiga
-
dezembro 14, 2012 às 12:06 pm #5995Dennye GarciaParticipante
Desativa o proxy dns.
-
dezembro 14, 2012 às 1:13 pm #5996Marco AurélioParticipante
Pessoal,
Tive um problema semelhante há pouco tempo atrás.
Com o Proxy DNS ativado para a Rede Verde não navegava para nenhum lugar.
Desativei o Proxy DNS e voltou a funcionar normalmente.
Coloquei esta questão aqui no fórum, mas não obtive uma resposta ou solução para o problema.
-
-
AutorPosts
- O tópico ‘Endian Cache DNS Poluido’ está fechado para novas respostas.