Accesos frecuentes pero no hay nadie usando la red

kuwox · Abril 04, 2015, 12:09:45 AM

Buenas noches mis estimados, es curioso pero estas son horas buenas para ir pasando revista a los log, en este momento sin que nadie esté conectado a la red el access.log de squid genera un monton de visistas como estas

1428123870.361 1 119.29.53.236 TCP_DENIED/403 3553 CONNECT 183.61.2.103:804 - NONE/- text/html
1428123870.582 2839 78.134.44.220 TCP_MISS/200 2522 CONNECT api.soundcloud.com:443 - DIRECT/72.21.91.127 -
1428123870.668 79 115.159.49.65 TCP_MISS/000 0 GET http://www.aidai.com/Login.html - DIRECT/www.aidai.com -
1428123870.959 1 96.254.171.2 TCP_DENIED/403 3422 CONNECT 173.194.78.27:25 - NONE/- text/html
1428123871.021 925110 112.101.228.38 TCP_MISS/200 2791 CONNECT lgn.yy.com:443 - DIRECT/120.132.133.53 -
1428123871.021 902977 112.101.228.38 TCP_MISS/200 2732 CONNECT lgn.yy.com:443 - DIRECT/120.132.133.53 -
1428123871.260 2 212.83.171.88 NONE/411 9486 GET http://search.yahoo.com/search? - NONE/- text/html
1428123871.356 1 202.104.149.39 TCP_DENIED/403 3554 CONNECT 121.11.65.71:805 - NONE/- text/html
1428123871.660 3300 204.124.183.98 TCP_MISS/200 22149 GET http://www.bing.com/search? - DIRECT/204.79.197.200 text/html
1428123871.690 2747 124.73.50.196 TCP_MISS/200 8679 GET http://stats.aipai.com/app/www/apps/club.php? - DIRECT/121.10.241.73 text/html
1428123871.692 1 119.29.94.178 TCP_DENIED/403 3553 CONNECT 121.11.65.69:805 - NONE/- text/html
1428123871.879 1233 182.88.9.39 TCP_MISS/200 1025 GET http://stat.youku.com/player/addPlayerDurationReport? - DIRECT/119.167.145.100 text/html
1428123872.011 913616 101.254.176.7 TCP_MISS/200 4701 CONNECT zhuce.xunlei.com:443 - DIRECT/125.39.141.246 -
1428123872.316 9346 117.21.175.201 TCP_MISS/000 0 GET http://demo.host161.3azj.com/proxy.asp - DIRECT/demo.host161.3azj.com -
1428123872.394 1 60.173.11.131 TCP_DENIED/403 3525 GET http://www.baidu.com/ - NONE/- text/html
1428123872.651 5059 204.124.183.98 TCP_MISS/200 23542 GET http://www.bing.com/search? - DIRECT/204.79.197.200 text/html
1428123872.721 2055 118.118.226.25 TCP_MISS/200 593 HEAD http://reg.email.163.com/unireg/call.do? - DIRECT/123.125.50.97 text/html
1428123873.002 696 96.254.171.2 TCP_MISS/302 822 GET http://www.google.com/ncr - DIRECT/216.58.219.100 text/html
1428123873.282 317 192.199.250.80 TCP_MISS/200 501 GET http://frameptp.com/promote.php? - DIRECT/104.28.30.33 text/html
1428123873.389 11029 117.89.114.218 TCP_MISS/200 10493 GET http://register.mail.sohu.com/servlet/CaptchaNew? - DIRECT/61.135.130.242 -
1428123873.442 7920 124.248.35.205 TCP_MISS/200 22290 POST http://www.scal.com.cn/B2C/ETicket/AirlineList - DIRECT/182.151.210.174 text/html
1428123873.445 2710 182.88.117.22 TCP_MISS/200 355 GET http://stat.youku.com/player/addPlayerStaticReport? - DIRECT/119.167.145.100 text/html
1428123873.585 1 202.104.149.39 TCP_DENIED/403 3554 CONNECT 121.11.65.70:805 - NONE/- text/html
1428123873.704 3162 182.88.117.22 TCP_MISS/200 1635 GET http://v.l.youku.com/ykvvlog? - DIRECT/61.135.196.203 -
1428123874.110 5364 220.194.57.71 TCP_MISS/502 4426 GET http://et.airchina.com.cn/InternetBooking/AirLowFareSearchInterstitial.do? - DIRECT/111.205.160.71 text/html
1428123874.112 1 182.254.161.253 TCP_DENIED/403 3692 GET http://www.baidu.com/home/treasure/data/treasuretime - NONE/- text/html
1428123874.148 6311 124.248.35.205 TCP_MISS/502 4168 POST http://www.ceair.com/booking/flight-search!doFlightSearch.shtml? - DIRECT/122.119.74.139 text/html
1428123874.194 88 115.159.48.36 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123874.206 857 110.249.208.157 TCP_MISS/200 328 GET http://proxy.daydaydata.com/proxy.php - DIRECT/119.254.108.169 text/html
1428123874.305 669 96.254.171.2 TCP_MISS/302 1225 GET http://www.google.com/search? - DIRECT/216.58.219.100 text/html
1428123874.569 1233 182.88.9.39 TCP_MISS/200 1635 GET http://v.l.youku.com/ykvvlog? - DIRECT/61.135.196.203 -
1428123874.695 10246 198.52.119.107 TCP_MISS/200 12053 CONNECT tw.newlogin.beanfun.com:443 - DIRECT/202.80.107.13 -
1428123875.091 7523 5.248.17.72 TCP_MISS/200 137 CONNECT auth.mail.ru:443 - DIRECT/217.69.139.60 -
1428123875.357 98 115.159.67.111 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123875.470 1981 121.42.49.24 TCP_MISS/200 479 GET http://appact.qzone.qq.com/appstore_activity_daily_seckill? - DIRECT/58.250.135.155 text/plain
1428123875.474 2971 78.134.44.220 TCP_MISS/200 2522 CONNECT api.soundcloud.com:443 - DIRECT/72.21.91.127 -
1428123875.493 94 115.159.87.141 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123875.650 2634 183.53.43.198 TCP_MISS/200 410 GET http://blog.eastmoney.com/bbbbb525133/common_getview_900678.html? - DIRECT/222.73.55.85 text/html
1428123875.946 1099 182.88.117.22 TCP_MISS/200 281 GET http://p-log.ykimg.com/event? - DIRECT/119.167.145.22 -

Lo curioso es que no hay nadie conectado, me gustaria saber si a alguien le ha pasado igual, si es bueno, si es malo o muy malo y como resolver el asunto.

Gracias de antemano, le he dado vueltas desde hace como 30 minutos al asunto y nada.

firecold · Abril 04, 2015, 09:15:39 PM

Cita de: kuwox en Abril 04, 2015, 12:09:45 AM
Buenas noches mis estimados, es curioso pero estas son horas buenas para ir pasando revista a los log, en este momento sin que nadie esté conectado a la red el access.log de squid genera un monton de visistas como estas

1428123870.361 1 119.29.53.236 TCP_DENIED/403 3553 CONNECT 183.61.2.103:804 - NONE/- text/html
1428123870.582 2839 78.134.44.220 TCP_MISS/200 2522 CONNECT api.soundcloud.com:443 - DIRECT/72.21.91.127 -
1428123870.668 79 115.159.49.65 TCP_MISS/000 0 GET http://www.aidai.com/Login.html - DIRECT/www.aidai.com -
1428123870.959 1 96.254.171.2 TCP_DENIED/403 3422 CONNECT 173.194.78.27:25 - NONE/- text/html
1428123871.021 925110 112.101.228.38 TCP_MISS/200 2791 CONNECT lgn.yy.com:443 - DIRECT/120.132.133.53 -
1428123871.021 902977 112.101.228.38 TCP_MISS/200 2732 CONNECT lgn.yy.com:443 - DIRECT/120.132.133.53 -
1428123871.260 2 212.83.171.88 NONE/411 9486 GET http://search.yahoo.com/search? - NONE/- text/html
1428123871.356 1 202.104.149.39 TCP_DENIED/403 3554 CONNECT 121.11.65.71:805 - NONE/- text/html
1428123871.660 3300 204.124.183.98 TCP_MISS/200 22149 GET http://www.bing.com/search? - DIRECT/204.79.197.200 text/html
1428123871.690 2747 124.73.50.196 TCP_MISS/200 8679 GET http://stats.aipai.com/app/www/apps/club.php? - DIRECT/121.10.241.73 text/html
1428123871.692 1 119.29.94.178 TCP_DENIED/403 3553 CONNECT 121.11.65.69:805 - NONE/- text/html
1428123871.879 1233 182.88.9.39 TCP_MISS/200 1025 GET http://stat.youku.com/player/addPlayerDurationReport? - DIRECT/119.167.145.100 text/html
1428123872.011 913616 101.254.176.7 TCP_MISS/200 4701 CONNECT zhuce.xunlei.com:443 - DIRECT/125.39.141.246 -
1428123872.316 9346 117.21.175.201 TCP_MISS/000 0 GET http://demo.host161.3azj.com/proxy.asp - DIRECT/demo.host161.3azj.com -
1428123872.394 1 60.173.11.131 TCP_DENIED/403 3525 GET http://www.baidu.com/ - NONE/- text/html
1428123872.651 5059 204.124.183.98 TCP_MISS/200 23542 GET http://www.bing.com/search? - DIRECT/204.79.197.200 text/html
1428123872.721 2055 118.118.226.25 TCP_MISS/200 593 HEAD http://reg.email.163.com/unireg/call.do? - DIRECT/123.125.50.97 text/html
1428123873.002 696 96.254.171.2 TCP_MISS/302 822 GET http://www.google.com/ncr - DIRECT/216.58.219.100 text/html
1428123873.282 317 192.199.250.80 TCP_MISS/200 501 GET http://frameptp.com/promote.php? - DIRECT/104.28.30.33 text/html
1428123873.389 11029 117.89.114.218 TCP_MISS/200 10493 GET http://register.mail.sohu.com/servlet/CaptchaNew? - DIRECT/61.135.130.242 -
1428123873.442 7920 124.248.35.205 TCP_MISS/200 22290 POST http://www.scal.com.cn/B2C/ETicket/AirlineList - DIRECT/182.151.210.174 text/html
1428123873.445 2710 182.88.117.22 TCP_MISS/200 355 GET http://stat.youku.com/player/addPlayerStaticReport? - DIRECT/119.167.145.100 text/html
1428123873.585 1 202.104.149.39 TCP_DENIED/403 3554 CONNECT 121.11.65.70:805 - NONE/- text/html
1428123873.704 3162 182.88.117.22 TCP_MISS/200 1635 GET http://v.l.youku.com/ykvvlog? - DIRECT/61.135.196.203 -
1428123874.110 5364 220.194.57.71 TCP_MISS/502 4426 GET http://et.airchina.com.cn/InternetBooking/AirLowFareSearchInterstitial.do? - DIRECT/111.205.160.71 text/html
1428123874.112 1 182.254.161.253 TCP_DENIED/403 3692 GET http://www.baidu.com/home/treasure/data/treasuretime - NONE/- text/html
1428123874.148 6311 124.248.35.205 TCP_MISS/502 4168 POST http://www.ceair.com/booking/flight-search!doFlightSearch.shtml? - DIRECT/122.119.74.139 text/html
1428123874.194 88 115.159.48.36 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123874.206 857 110.249.208.157 TCP_MISS/200 328 GET http://proxy.daydaydata.com/proxy.php - DIRECT/119.254.108.169 text/html
1428123874.305 669 96.254.171.2 TCP_MISS/302 1225 GET http://www.google.com/search? - DIRECT/216.58.219.100 text/html
1428123874.569 1233 182.88.9.39 TCP_MISS/200 1635 GET http://v.l.youku.com/ykvvlog? - DIRECT/61.135.196.203 -
1428123874.695 10246 198.52.119.107 TCP_MISS/200 12053 CONNECT tw.newlogin.beanfun.com:443 - DIRECT/202.80.107.13 -
1428123875.091 7523 5.248.17.72 TCP_MISS/200 137 CONNECT auth.mail.ru:443 - DIRECT/217.69.139.60 -
1428123875.357 98 115.159.67.111 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123875.470 1981 121.42.49.24 TCP_MISS/200 479 GET http://appact.qzone.qq.com/appstore_activity_daily_seckill? - DIRECT/58.250.135.155 text/plain
1428123875.474 2971 78.134.44.220 TCP_MISS/200 2522 CONNECT api.soundcloud.com:443 - DIRECT/72.21.91.127 -
1428123875.493 94 115.159.87.141 TCP_MISS/000 0 GET http://www.aidai.com/ - DIRECT/www.aidai.com -
1428123875.650 2634 183.53.43.198 TCP_MISS/200 410 GET http://blog.eastmoney.com/bbbbb525133/common_getview_900678.html? - DIRECT/222.73.55.85 text/html
1428123875.946 1099 182.88.117.22 TCP_MISS/200 281 GET http://p-log.ykimg.com/event? - DIRECT/119.167.145.22 -

Lo curioso es que no hay nadie conectado, me gustaria saber si a alguien le ha pasado igual, si es bueno, si es malo o muy malo y como resolver el asunto.

Gracias de antemano, le he dado vueltas desde hace como 30 minutos al asunto y nada.

Amigo la pregunta es, estas conexiones en los logs forman parte de las ips que has declarado en MK, si no te recomendaria que leyeras este post:LInk, el cual habla de conexiones que estan entrando sin permiso y como bloquearlas, te recomendaria hacer una auditoria de tu MK, para ver que no se halla pasado tus reglas, Saludos

kuwox · Abril 05, 2015, 08:41:07 AM

Saludos, exactamente son ip que no pertecen a ningun rango que estoy usando para mis clientes, gracias por el link lo estoy considerando y aplicando para probar, cada vez estoy entendiendo un poco mas mikrotik y raptorcache.

Gracias por tu aporte.

firecold · Abril 06, 2015, 11:16:15 AM

Cita de: kuwox en Abril 05, 2015, 08:41:07 AM
Saludos, exactamente son ip que no pertecen a ningun rango que estoy usando para mis clientes, gracias por el link lo estoy considerando y aplicando para probar, cada vez estoy entendiendo un poco mas mikrotik y raptorcache.

Gracias por tu aporte.

Es un tema muy comentado ultimamente, ya que se esta dando mucho la intrusion de personas en los servidores o personas que quieren Internet gratis, como tambien ataques al servidor, pero probando esto veras que los ataques son mitigados, Saludos

kuwox · Abril 06, 2015, 06:25:05 PM

Actualmente el servidor raptorcache lleva 1 día y 9 horas, han bajado los ataques, incluso cuando mucho suben los conexiones a un promedio de 300 como máximo, pero se mantiene en 70 conexiones, alli voy , al terminar los tres dias de prueba publicaré las reglas que he puesto y me han funcionado.

Ahora tengo un grave problema, olvide el password del webpanel, entro por ssh al raptorcache pero al webpanel no porque olvide la contraseña y no se donde recuperarla o forzar al cambio.

kuwox · Abril 06, 2015, 06:49:18 PM

Bueno lo de la contraseña lo acabo de resolver, entre por ssh como root, genere una nueva contraseña mediante encriptacion md5 desde el terminal, ejemplo:

echo -n "admin" | md5sum
"donde admin es la nueva clave que quiero colocar"

y el resultado que me generó lo coloque dentro de
/var/raptor/rpconf/conf.ini en la linea password

Otra cosa, como podemos hacer , si quiere puedo colaborar en algo, de colocar un pequeño mensaje sobre cada uno de los títulos del web panel para saber de que se trata cada título, por ejemplo colocando al lado de cada titulo el pequeño signo ?.

Saludos

firecold · Abril 06, 2015, 07:06:49 PM

Cita de: kuwox en Abril 06, 2015, 06:49:18 PM
Bueno lo de la contraseña lo acabo de resolver, entre por ssh como root, genere una nueva contraseña mediante encriptacion md5 desde el terminal, ejemplo:

echo -n "admin" | md5sum
"donde admin es la nueva clave que quiero colocar"

y el resultado que me generó lo coloque dentro de
/var/raptor/rpconf/conf.ini en la linea password

Otra cosa, como podemos hacer , si quiere puedo colaborar en algo, de colocar un pequeño mensaje sobre cada uno de los títulos del web panel para saber de que se trata cada título, por ejemplo colocando al lado de cada titulo el pequeño signo ?.

Saludos

Si esto es posible hacerlo, aunque lamentablemente no me recuerdo donde estaba publicado, pero lo bueno que ya lo resolvistes, Saludos

angelsantana · Diciembre 29, 2015, 01:44:45 PM

Cita de: firecold en Abril 06, 2015, 07:06:49 PM
Si esto es posible hacerlo, aunque lamentablemente no me recuerdo donde estaba publicado, pero lo bueno que ya lo resolvistes, Saludos

a decir verdad tambien me susito el mismo problema del pass de raptor.. sucede que queria cambiarlo de contraseña y creo algo hice mall que ahora ya no puedo entrar me sale contraseña erronea... y el amigo que comenta la solucion no logro entenderlo muy vien.. ya que aun no logro restablecer.. seria tam amable de poder guiarme de como restablesco la contraseña de raptor.. por el modo root si ingreso normall.. una ayudita por fass.... busque informacion al respecto pero este post es unico que encontre.. con el tema ??? ???

firecold · Diciembre 30, 2015, 09:35:32 AM

Cita de: angelsantana en Diciembre 29, 2015, 01:44:45 PM

a decir verdad tambien me susito el mismo problema del pass de raptor.. sucede que queria cambiarlo de contraseña y creo algo hice mall que ahora ya no puedo entrar me sale contraseña erronea... y el amigo que comenta la solucion no logro entenderlo muy vien.. ya que aun no logro restablecer.. seria tam amable de poder guiarme de como restablesco la contraseña de raptor.. por el modo root si ingreso normall.. una ayudita por fass.... busque informacion al respecto pero este post es unico que encontre.. con el tema ??? ???

Pasate por aca: Pass, Saludos

angelsantana · Diciembre 30, 2015, 10:39:04 AM

Cita de: firecold en Diciembre 30, 2015, 09:35:32 AM
Pasate por aca: Pass, Saludos

muchas gracias mi amigo firecold con ese comando logre restablecer la contraseña por defecto...
y como seria para poder cambiarlo ya que admin, admin es una contraseña por defecto pero algunos usuarios como saben entrar... a panel y ps mi idea era cambiarle la contraseña y usuario algun comando en especial mi amigooo :) :)

firecold · Diciembre 30, 2015, 05:12:15 PM

Cita de: angelsantana en Diciembre 30, 2015, 10:39:04 AM
muchas gracias mi amigo firecold con ese comando logre restablecer la contraseña por defecto...
y como seria para poder cambiarlo ya que admin, admin es una contraseña por defecto pero algunos usuarios como saben entrar... a panel y ps mi idea era cambiarle la contraseña y usuario algun comando en especial mi amigooo :) :)

No se si todavia, pero anteriormente en el Webpanel, se podia cambiar la contraseña, ya no???, pregunto no mas, Saludos

luistec · Diciembre 30, 2015, 05:35:03 PM

Cita de: firecold en Diciembre 30, 2015, 05:12:15 PM
No se si todavia, pero anteriormente en el Webpanel, se podia cambiar la contraseña, ya no???, pregunto no mas, Saludos

Sí se puede hacer el cambio de contraseña de usuario desde el WebPanel, está en la opción "Configuración -> Usuarios -> Cambio de Contraseña".

Saludos.

jonimh · Diciembre 30, 2015, 09:14:46 PM

Cita de: kuwox en Abril 06, 2015, 06:25:05 PM
Actualmente el servidor raptorcache lleva 1 día y 9 horas, han bajado los ataques, incluso cuando mucho suben los conexiones a un promedio de 300 como máximo, pero se mantiene en 70 conexiones, alli voy , al terminar los tres dias de prueba publicaré las reglas que he puesto y me han funcionado.

Ahora tengo un grave problema, olvide el password del webpanel, entro por ssh al raptorcache pero al webpanel no porque olvide la contraseña y no se donde recuperarla o forzar al cambio.

amigo ya no publico las reglas del mikrotik?

firecold · Diciembre 31, 2015, 09:10:53 AM

Cita de: jonimh en Diciembre 30, 2015, 09:14:46 PM
amigo ya no publico las reglas del mikrotik?

Amigo pasate por aqui, puede que te ayude: http://www.alterserv.com/foros/index.php?topic=1795.0, Saludos