Amigo se eles estão fazendo ataques do tipo SQL Injection, ou invadiram algum servidor interno seu,... pode ser Botnet, outra coisa, pelo menos para o ataque (pelo que consta no email...) está saindo por HTTP, coisas pra se fazer caso ainda não tenha feito:
- Instalar o Squid - Instalar o Lightsquid - Proibir conexões a HTTP e HTTPS sem passar pelo Squid, na verdade liberar acesso somente a serviços necessários como POP e SMTP - Se possível use o Squid com autenticação, para um Bot conseguir atacar um site sem acesso direto a internet, somente pelo teu proxy ele teria que ter um usuário e senha para fazer isto, se for Botnet usada por Brasileiros, provavelmente o Bot está se conectando em algum servidor IRC, se a Bot trabalha em P2P ou HTTP duvido que seja de Brasileiros, ah não que tenham comprado/alugado a Bot... - Teste seu firewall tenha certeza que os micros da sua rede não consigam acessar redes com a do TOR e proxys - Instale o Snort Por isto prefiro bloquear todos os sites e liberar somente os necessários. Verifique os gráficos de consumo de banda, procure por horários, se durante o expediente somente é uma das estações de trabalho que esta infectada. []s. Neriberto Caetano do Prado http://about.me/neriberto <http://www.twitter.com/neriberto> Em 26 de dezembro de 2011 19:36, Brivaldo Junior <[email protected]>escreveu: > Snort... o próprio pfSense tem ele.. só instalar e ativar.. ele vai te > mostrar quem está gerando este alerta pra ele. > > > Abraços, > Brivaldo Jr > > Em 26 de dezembro de 2011 17:35, Luiz Gustavo S. Costa < > [email protected]> escreveu: > > Você já tem o NTOP pelo o que você falou, essa já é uma ótima >> ferramenta de analise de hosts na rede. >> >> Outras formas de fazer isso seria usando uma investigação com >> ferramentas de monitormento de rede, além do NTOP, tcpdump, pftop >> >> Espero que ajude. >> >> Abraços >> >> Em 26 de dezembro de 2011 18:29, <[email protected]> escreveu: >> > >> > Aqui na nossa rede usamos o Pfsense 2.0.1 com squid lightsquid e ntop >> > >> > Recentemente, fui informado que pelo administrador de um Site externo >> que o >> > mesmo estava sofrendo ataques vindo de uma maquina interna de minha >> rede. >> > Em atenção ao seu e-mail informamos a V.Sª que o endereço IP desta >> > instituição encontra-se bloqueado em função de estar realizando um >> > ataque do tipo "HTTP.URI.SQL.Injection" . >> > >> > Bem sou novo nesta coisa de Firewall ate pouco tempo só administrava >> Samba e >> > servidor Apache, e não tenho ideía de como localizar a maquina que esta >> > fazendo os ataques. >> > >> > Agradeço a quêm poder me informar o caminho das pedras..... >> > >> > _______________________________________________ >> > Pfsense-pt mailing list >> > [email protected] >> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > >> >> >> >> -- >> /\ Luiz Gustavo S. Costa >> / \ Programmer at BSD Perimeter >> / \ /\/\/\ Visit the pfSense Project >> / \ \ \ http://www.pfsense.org >> --------------------------------------------------------------------- >> BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv) >> Contatos: [email protected] / [email protected] >> Blog: http://www.luizgustavo.pro.br >> _______________________________________________ >> Pfsense-pt mailing list >> [email protected] >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > > > -- > Brivaldo Junior > > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > >
_______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
