Soy un poco nuevo en los temas de Seguridad y de los foros por eso quiza pueda no estar bien enfocado el problema y las preguntas. Disculpas por adelantado.

Os comento mi problema:
Revisando los log de accesos desde y hacia Internet de mi servidor proxy he notado que hay conexiones que no son de los usurios de mi red y que acceden a contenidos que no son de mi web, me explico

siuiendo el esquema de logs:
fechahora, usuario, direcciondeacceso,....

un log de uno de mis usuarios a Internet sería algo así:
12/1/2010 12:00, pepegonzalez, http://www.google.com,...

un log de un usuario externo sería:
23/1/2010 12:32, 92.35.64.245, http://www.mipagina.com,...

pero tengo logs de la siguiente forma que son los que me hacen sospechar:
25/1/2010 13:01, 92.135.164.245, http://www.sina.cn

O sea que el usuario es externo y la direccion tambien...

Si alguien puede ayudarme a identificar el problema lo agradecería.
He buscado informacion suponiendo que pudiera estar formando parte de una botnet o algo pero no he encontrado nada que me pueda esclarecer.

Hola dabar,

El problema es claramente que el proxy no está debidamente protegido y está siendo usado por terceros (seguramente máquinas zombie) para hacer peticiones a través de él. El riesgo de una configuración así es evidente. Muy probablemente estén usando esa máquina para cometer estafas, enviar spam o llevar a cabo otras actividades delictivas. Es un problema grave, porque la justicia entiende sólo a medias que el actor humano de los delitos no es el admin del proxy. La situación empeora cuando añadimos que el responsable de la restricción de un servicio es el propio administrador o el propietario de la infraestructura sobre la que se ofrece dicho servicio.

Como no dices de qué solución de proxy se trata, no puedo darte directrices específicas para asegurarlo, pero te diré que la solución pasa por restringir su uso a exclusivamente aquello para lo que lo instalaste.

Cuando se tienen

usuarios <---> destinos

lo ideal es permitir el acceso sólo a usuarios válidos que vayan a destinos válidos, eliminando cualquier otra combinación.

Con suerte sólo están haciendo el capullo, pero yo te recomiendo además que hagas una buena captura del tráfico (tanto peticiones como respuestas) con alguna herramienta de monitorización que guarde las tramas completas (i.e. tcpdump) para curarte en salud ante un eventual problema que te pudiera surgir (espero que no y además es poco frecuente -- pero conozco casos en que ha pasado).


Salu2

Gracias por la pronta respuesta, ahora otra cosa
Incluso si mi proxy deniega alguna de esas direcciones quiere decir que estoy comprometido?

Por ejemplo:

Las direcciones a la raiz de los sitios hace como que las resuelve, pero las que tienen algun camino relativo a la raiz las deniega...

Es como si buscara un directorio dentro de mi web y al no encontrarlos falla, pero las direcciones que apuntan a la raiz las resuelve, lo que no se es si con mi pagina de inicio o con la del ataque en cuestion...

De todas maneras voy a instalar un snifer pra saber realmente que esta haciendo, luego les comento.

salu2

No es que se haya comprometido la seguridad del proxy, Simplemente éste permite esa funcionalidad. Eso de devolver la raíz pero no subdirectorios es una característica, que habrás de implementar a través de la configuración del proxy, y dependerá de la flexibilidad de éste.

Como bien dices, puedes utilizar alguna herramienta de monitorización de tráfico, no sólo para analizar las peticiones entrantes sino también las realizadas por la máquina que alberga el proxy, a fin de determinar si éste está haciendo peticiones a sitios que no entraban dentro de los planes.


Salu2