<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2900.3243" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial color=#0000ff size=2></FONT>&nbsp;</DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff size=2>What 
kind of proxy?&nbsp; Squid?&nbsp; Obvious stuff:</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>1.&nbsp; are you disallowing inside networks from coming into your 
network?&nbsp; (i.e. filtering spoofed internal IPs)</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>2.&nbsp; do you have access control on your Proxies that only allow 
certain networks to access them?&nbsp; Squid is easy to setup.&nbsp; Do a file 
locate/find for squid.conf, open it up in your favorite editor and search for 
"acl allowed_hosts src"&nbsp; and make sure it is using your internal networks 
only--e.g. "acl allowed_hosts src 68.153.50.0/255.255.255.0" and follow that up 
by applying the ACL and setting a deny all default.&nbsp; Something like 
this:</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>&nbsp;&nbsp;&nbsp; acl allowed_hosts src 
68.153.50.0/255.255.255.0</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>&nbsp;&nbsp;&nbsp; http_access allow allowed_hosts 
password<BR>&nbsp;&nbsp;&nbsp; http_access deny&nbsp; 
all<BR></FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff size=2>If all 
of the above is already good, then you might have a massive internal infestation 
on PCs or servers.&nbsp; What IPs are hitting the proxies?&nbsp; Add an ACL to 
your proxies that disallows those IPs, then go check the holders of those IPs 
for malware.&nbsp; You might want to add an extra ACL to your border router to 
dump traffic to/from <FONT face="Times New Roman" color=#000000 
size=3>Czdlxy.163.com&nbsp; </FONT></FONT></SPAN><SPAN 
class=984311716-18082008><FONT face=Arial color=#0000ff size=2>For Squid it 
would look like this:</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff size=2>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>&nbsp;&nbsp;&nbsp; acl allowed_hosts src 68.153.50.0/255.255.255.0&nbsp; 
192.168.0.0/24</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008>&nbsp;&nbsp;&nbsp; acl denied_hosts src 
68.153.50.10/32&nbsp; 68.153.50.11/32 &nbsp;68.153.50.12/32</SPAN></DIV>
<DIV><SPAN class=984311716-18082008>&nbsp;&nbsp;&nbsp; http_access deny 
denied_hosts</SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>&nbsp;&nbsp;&nbsp; http_access allow allowed_hosts 
password<BR>&nbsp;&nbsp;&nbsp; http_access deny&nbsp; 
all<BR></FONT></SPAN></DIV></FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff size=2>Good 
luck,</FONT></SPAN></DIV>
<DIV><SPAN class=984311716-18082008><FONT face=Arial color=#0000ff 
size=2>--Patrick Darden</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> 
  unisog-bounces@lists.dshield.org 
  [mailto:unisog-bounces@lists.dshield.org]<B>On Behalf Of 
  </B>tim.lane@scu.edu.au<BR><B>Sent:</B> Monday, August 18, 2008 4:26 
  AM<BR><B>To:</B> The EDUCAUSE Security Constituent Group Listserv; 
  unisog@lists.dshield.org; security-l@clix.aarnet.edu.au<BR><B>Subject:</B> 
  [unisog] Czdlxy.163.com and High Bandwidth Utilisation<BR><BR></FONT></DIV>
  <DIV>Hi All,</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>we are having an anamoly occur on our network where our Internet link is 
  experiencing 100% utilisation and the proxies are reporting massive downloads 
  from Czdlxy.163.com&nbsp; but the traffic does not seem to come inside our 
  network to workstations, just to the proxies.</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Czdlxy.163.com appears to be related to some Chinese Online Gaming 
  website (but translation makes it difficult to pinpoint exactly).&nbsp; This 
  makes me think that either:</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>1)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Proxy servers are compromised and 
  are hosting content<BR>2)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Denial of 
  service<BR>3)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Traffic is actually 
  going&nbsp;inside our network and we cannot see it (at 
  this<BR>stage).<BR><BR>I&nbsp; realise this is basic informatin but has anyone 
  heard of this site before or do they have any suggestions or thoughts on what 
  could be occuring?&nbsp; Is anyone else seeing something similar?</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Thanks,</DIV>
  <DIV>&nbsp;</DIV>
  <DIV>Tim Lane<BR><BR><BR>Tim Lane <BR>Information Security Program Manager 
  <BR><BR>Information Technology and Telecommunication Services <BR>Southern 
  Cross University <BR>PO Box 157 Lismore NSW 2480 <BR><BR>Phone (02) 6620 
  3290&nbsp;&nbsp;&nbsp; Fax(02) 6620 3033&nbsp;&nbsp; <BR>Email: 
  tlane@scu.edu.au <BR>http://www.scu.edu.au 
<BR><BR></DIV></BLOCKQUOTE></BODY></HTML>