Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9964 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
Parents
  • 0
    Interesting.  At 8:40 CST (It's now 4:15pm here), an email, ostensibly from Rolex, offering 44% off on Rolex watches made it past the Astaro anti-spam.  Did either of you guys click on that?

    Jayson, are you using the HTTP Proxy in a transparent mode?  If so, then its your PC, not the Astaro, that does the DNS lookup.  If you don't just have a poisoned DNS cache in your PC, then you might have a really nasty Trojan.

    Please keep us informed!

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, no one used email this morning.  Everything seems OK so far, I didn't reboot or anything it cleared up on its own.  I think it was Google's DNS, but haven't seen any news yet.

    Paul
  • 0 in reply to PaulHolt
    Unfortunetly changing DNS forwarders or flushing the cache didn't work for me.

    I still believe its an issue with the ASG because I can duplicate the issue all on all of my computers (MAC, PC, Linux) and I even booted a Ubuntu live cd and saw the same results. 

    I run pretty strong password phrases and I do not allow SSH access to the ASG on either side of the network. I have no DMZ area however I do have the end user portal option available. I use the transparent web proxy as you guessed. 

    I'm going to download the latest and greatest ISO and re-install from that to see if the issue is still there.


    /var/log/http.log:2011:06:25-15:08:37 ******-****** httpproxy[6341]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6605" time="2978 ms" request="0xdc775000" url="http://www.msnbc.msn.com/id/42382693" exceptions="" error="" country="Peru" 
    /var/log/http.log:2011:06:25-15:08:37 ******-****** httpproxy[6341]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6605" time="2780 ms" request="0xdc7800f0" url="http://www.msnbc.msn.com/id/39730399" exceptions="" error="" country="Peru" 
    /var/log/http.log:2011:06:25-15:08:37 ******-****** httpproxy[6341]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6626" time="2777 ms" request="0xdc73c2a0" url="http://www.msnbc.msn.com/id/23284290?LNW.js" exceptions="" error="" country="Peru" 
    /var/log/http.log:2011:06:25-20:36:52 ******-****** httpproxy[6312]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6676" time="0 ms" request="0xdcfafd00" url="http://static.ak.fbcdn.net/rsrc.php/v1/yP/r/6S8W9-zcvGH.js" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-20:36:53 ******-****** httpproxy[6312]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6676" time="0 ms" request="0xdcf92a60" url="http://static.ak.fbcdn.net/rsrc.php/v1/yK/r/PpEvPTmpg44.js" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-20:36:53 ******-****** httpproxy[6312]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6679" time="0 ms" request="0xdcf92a60" url="http://static.ak.fbcdn.net/rsrc.php/v1/z7/r/ql9vukDCc4R.png" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-20:36:53 ******-****** httpproxy[6312]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6679" time="0 ms" request="0xdcfb0338" url="http://static.ak.fbcdn.net/rsrc.php/v1/yH/r/eIpbnVKI9lR.png" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:04 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6679" time="0 ms" request="0xdfe2cd00" url="http://static.ak.fbcdn.net/rsrc.php/v1/z7/r/ql9vukDCc4R.png" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:04 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6676" time="0 ms" request="0xdfe23260" url="http://static.ak.fbcdn.net/rsrc.php/v1/yK/r/PpEvPTmpg44.js" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:10 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6679" time="0 ms" request="0xdfe2f8f8" url="http://static.ak.fbcdn.net/rsrc.php/v1/yx/r/WFg56j28XFs.swf" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:14 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6679" time="0 ms" request="0xdfe2f8f8" url="http://static.ak.fbcdn.net/rsrc.php/v1/zL/r/FGFbc80dUKj.png" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:39 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="24913 ms" request="0x9f3fa88" url="http://ak.buy.com/PI/0/125/220947487.jpg" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:43 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="29007 ms" request="0x9f3f898" url="http://ak.buy.com/PI/0/125/219178481.jpg" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:44 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="29881 ms" request="0x8fd5a50" url="http://ak.buy.com/PI/0/125/221913217.jpg" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:47 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="32882 ms" request="0xa01ede8" url="http://ak.buy.com/PI/0/125/219837093.jpg" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:49 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="33119 ms" request="0x9eb79e0" url="http://ak.buy.com/PI/0/125/220169743.jpg" exceptions="" error="" country="Argentina" 
    /var/log/http.log:2011:06:25-21:58:52 ******-****** httpproxy[6319]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="***.***.***.***" dstip="" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6622" time="33101 ms" request="0x9eb69f0" url="http://ak.buy.com/PI/0/125/217103619.jpg" exceptions="" error="" country="Argentina" 
  • 0 in reply to Jayson
    As you can see from the above chunk of log files it simply doesn't matter what URL I go to, it ends up showing it was in route to Argentina, PERU, Brazil.
Reply Children
No Data