CODE RED & SQUID

0

0

CODE RED или подобная ей эпидемия продолжается! У меня в сети большое количество Машин с M$ NT подчас, я даже не знаю где именно они стоят! Я администрирую router c прозрачным Squid-oм Как только хотябы одна NT заражается, солнечный свет меркнет, она начинает слать сотнями запросы с вирусом в инет! Squid, стонет но работает. инет перестает качаться... Существуют ли какие-либо фильтры для squid отсекающие подобные атаки?

Ссылка

←	PostgreSQL & Apache

Кусок лога..

→

я не вкусре чего такое это самое кодеред, но думаю, что если все упираеться в отфильтровку запрашиваемых урл, то тебя спасет обычный редиректор или acl. как делать смотри в районе http://squid.org.ua или http://squid.opennet.ru. Хотя у меня есть подозрение, что ты имеешь ввиду отсылку почтовых сообщений ? ;)

anonymous
(14.08.01 14:32:41 MSD)

Ссылка

Отключай заболевшую машину от инета (сквидом) - и жди пока ее админ проснется, раз уж он не озаботился защитой от червя заранее. NT без админа быть не должна, не юникс чай!

speer ★
(14.08.01 15:59:23 MSD)

Ссылка

Проблема не с почтой!
Red Code заражает машины запросом не правильной длины!
А машин у меня очень много... Всех не переловишь!
Как только заражение произошло она начинает слать в инет всякую муть
В огромных количествах! До половины пропусной способности канала!
В этом и проблема, что я не могу всех отрезать!
За два дня 14 случаев!
Нужен фильтр запросов!
AVP написали такой для NT..
Вот я и спрашиваю может есть такой фильтр и для SQuid?

asus ★
(14.08.01 19:13:13 MSD) автор топика

Ссылка

Сквиду фильтровать тяжело, формальный признак - неправильная длина пакета, это ядро должно отрабатывать.

Я прочитал мейл-лист по этому поводу, там народ говорит, что нормально сквид не должен выпускать неправильные запросы наружу, проблема в том, что он не может ответить достойно пославшему запрос, решение предлагается:

http://www.squid-cache.org/mail-archive/squid-users/200108/0348.html

Я не уверен, что это то, что ты хочешь но лучшего не нашел...

speer ★
(14.08.01 20:05:31 MSD)

Ссылка

Спасибо большое !
Почитаю...
Кажется это примерно то, что искал!

asus ★
(14.08.01 22:04:06 MSD) автор топика

Ссылка

а не легче ли бороться с причиной а не со следствием? почту входящую проверяй ежели она у тебя через твой сервер линуховый ходит. можно и без авп, вона на процмейле можно соорудить проверку почты на предмет фраз и прочего де-тона опеннет недавно видал

anonymous
(14.08.01 23:21:48 MSD)

Ссылка

Думаю сквидом можно резать, типа так

acl REDCODE url_regex \/default.ida?XXXXXXXXXXXXXXXXXXXXXX
http_access deny REDCODE

думаю этого будет достаточно....

Ruwa ★
(15.08.01 10:52:05 MSD)

Ссылка

Если я правильно понимаю,url_regex обрабатывает URL до знака ? Все остальное отбрасывается... Кроме того поток запросов настолько велик что SQUID переклинивает.. Судя повсему поможет только динамическая блокировка: Как только в логе squid появляется следы, ip адрес отправителя заносим в ipchains до выяснения обстоятельств....

asus ★
(15.08.01 18:48:22 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PostgreSQL & Apache

Admin

Кусок лога..

→

Похожие темы