BFW Firewall & Router

[korantus]

Pessoal, sei que este forum trata problemas relacionados exclusivamente ao BFW, porém estou passando por um problema inusitado:
As páginas iniciais da estações aqui são todas o www.google.com.br, porém, não sei se é malware o o quê, quando eu abro a página inicial (google) o kaspersky acusa que o IP 46.246.89.187:443/nimrod.php é um site infectado.
Eu criei uma regra no firewall assim:

Código: Selecionar todos

access Y deny all any 46.246.89.187 all 443 #url http://46.246.89.187:443/nimrod.php

mas agora o www.google.com.br, o www.uol.com.br, o www.terra.com.br não abrem mais...
E o mais interessante, apenas as conexões que utilizam o speedy ocorrem isto. as conexões que passam pelo link dedicado abrem o google normal, sem mensagem de antivirus...
Estou em dúvidas se isto é um problema de malware na minha rede interna ou é no provedor o problema...

Peço desculpas, caso o assunto não seja muito coerente com o local postado mas desde já agradeço por qualquer orientação. Abraços e bom final de semana a todos.

[Thiago]

Hum, faz assim....

Código: Selecionar todos

iptables -A FORWARD -s 10.0.0.0/8 -d 46.246.89.187 -j DROP

Onde 10.0.0.0 é minha rede e o /8 a mascara de sub rede.
Isso irá impedir que tudo que sair "-s" de "10.0.0.0" para o destino "-d" "46.246.89.189" não seja aceito, e assim você pode remover a regra que colocou no firewall simplificado. Se funcionar acrescente a linha completa no rc.local, e toda vez que o Bfw rebootar vai inserir a linha automaticamente...
Abraços...

[dimitri]

Caros,

Eu estou exatamente com o mesmo problema em uma máquina de uso doméstico. Já passei todos os anti-vírus possíveis e nada. O problema é que ao carregar determinadas páginas o mesmo script citado por korantus carrega um áudio de um site trololololo.com e fica em loop. Estou usando chrome e aparentemente algo está fazendo injeção de iframe aleatoriamente. Aconteceu também com o terra.com.br e uol.com.br, cheguei até a suspeitar que a infecção estava nesses sites.

Caso tenham alguma solução. Ficaria grato pela ajuda.

Agradeço antecipadamente pela atenção!

[korantus]

Hum, faz assim....

Código: Selecionar todos

iptables -A FORWARD -s 10.0.0.0/8 -d 46.246.89.187 -j DROP

Onde 10.0.0.0 é minha rede e o /8 a mascara de sub rede.
Isso irá impedir que tudo que sair "-s" de "10.0.0.0" para o destino "-d" "46.246.89.189" não seja aceito, e assim você pode remover a regra que colocou no firewall simplificado. Se funcionar acrescente a linha completa no rc.local, e toda vez que o Bfw rebootar vai inserir a linha automaticamente...
Abraços...

Solucionado!!

Thiago, agora ficou show de bola! Deixei deste jeito nas configurações avançadas de firewall:

Código: Selecionar todos

#Site infectado 46.246.89.187:443
iptables -A FORWARD -s 192.168.0.0/24 -d 46.246.89.187 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d 46.246.89.162 -j DROP


depois disso, inserí as mesmas linhas no arquivo de inicialização rc.local
reconstruí a cache do meu squid
fiz backup
reiniciei o BFW
Google do Brasil voltou a abrir normalmente (www.google.com.br) e o melhor, o uol.com.br, terra.com.br e o bol.com.br também voltaram a funcionar!

Agradeço muito pela ajuda! Forte abraço!