Tema: AYUDA URGENTE PORFAVOR!!! Analizar traza de Squid

[chibirico]

Mi problema es el siguiente, soy administrador de una red, tengo un proxy squid y se me ha planteado un problema de un usuario en mi red que accedió a yahoo y desde yahoo envio un correo que atenta contra los principios y politicas de mi empresa, lo que quiero saber es lo siguiente, necesito saber si alguien me puede decir analizando la traza que me dió el squid y que a continuacion pongo aca, si eso me indica que se logearon a yahoo correctamente con el usuario helmo50rv. Espero no haber complicado mi pregunta y sea entendible.

aqui la linea de la traza del squid.

1209007098.705   6336 192.168.1.73 TCP_MISS/302 2529 GET http://es.wrs.yahoo.com/_ylt=A1f4cfv0EBJIbZ4AvuST.Qt./SIG=1vv9rdgh5/EXP=1209229940/**http%3A//es.search.yahoo.com/preferences/preferences%3Fpage=filters%26pref_done=http%253A%252F%252Fes.search.yahoo.com%252Fsearch%253Fei%253DUTF-8%2526p%253DFri%25252C%252B25%252BApr%252B2008%252B02%25253A54%25253A27%252B%25252B0200%252B%252528CEST%252529%252BDe%25253A%252BSend%252Ban%252BInstant%252BMessage%252B%25253Chelmorv50%252540yahoo.es%25253E%252B%252522Helmo%252BRodr%2525C3%2525ADguez%252BValle%252522%2526n%253D10%2526va_vt%253Dany%2526vo_vt%253Dany%2526ve_vt%253Dany%2526vp_vt%253Dany%2526vd%253Dm3%2526vf%253Dall%2526vm%253Dr%2526fl%253D1%2526vl%253Dlang_es%26pref_cancel=http%253A%252F%252Fes.search.yahoo.com%252Fsearch%253Fei%253DUTF-8%2526p%253DFri%25252C%252B25%252BApr%252B2008%252B02%25253A54%25253A27%252B%25252B0200%252B%252528CEST%252529%252BDe%25253A%252BSend%252Ban%252BInstant%252BMessage%252B%25253Chelmorv50%252540yahoo.es%25253E%252B%252522Helmo%252BRodr%2525C3%2525ADguez%252BValle%252522%2526n%253D10%2526va_vt%253Dany%2526vo_vt%253Dany%2526ve_vt%253Dany%2526vp_vt%253Dany%2526vd%253Dm3%2526vf%253Dall%2526vm%253Dr%2526fl%253D1%2526vl%253Dlang_es%26.bcrumb=81fb912d7e311a1369cbfd089753f97f,1209143541%26src=ac%23ac florangel055 DIRECT/87.248.112.7 text/html

Desde ya,
muchas gracias por su colaboracion.

[MClaud]

Hola CHibrido, bienvenido al foro
Lo que indica el tracer de la ip que aparece en tu mensaje no dice nada, provablemente la pc desde la que se enviò tenga un buen firewall o haya sido hecha ocultando la ip

Your IP address is 87.248.112.7
City: London England
Country: United Kingdom
Continent: Europe
Time Zone: GMT

Lo que serìa mas recomendable es buscar la ip desde uno de los correos recibidos mostrando los detalles de la recepciòn, con ese ip hacer un tracer route, seria mucha suerte que te de la ip de tu servidor
Revisa tambien si tiene algun attach, a veces son tan ingenuos que envian un doc adjunto que te indicaria de donde proviene el mensaje
Necesitas mucho poder de observaciòn, cada detalle puede llevarte a dar con el origen

Suerte

[chibirico]

Hola MClaud, mira el IP 192.168.1.73 es un IP de mi red local, eso lo se, luego casi al final de la traza dice florangel055 ese es un usuario de mi proxy, un usuario de navegacion en internet, osea que tengo practicamente el origen del mensaje, lo que necesito saber es, no se si ud me entiende, conocer con certeza, si desde esa maquina 192.168.1.73 lograron acceder osea hacer login en yahoo con el usuario helmorv50.

nuevamente muchas gracias por todo.

Saludos,

[Liamngls]

Yo no veo muy claro poder saber al cien por cien seguro si alguien conectó o no conectó en Yahoo! con un usuario determinado y en caso de poder hacerlo dudo que sea muy legal.

[MClaud]

Ve a tu outlook y selecciona el correo del problema con clic derecho
Elige Options
En la parte inferior tienes una ventana que dice Internet Headers o cabeceras de internet
Selecciona todo el contenido del texto y pegalo en un documento de word
Ahi debes poder ver el ip de la pc de la que salio el correo
Si es de tu propio servidor será facil identificarlo porque esa es una ip fija a menos que haya sido configurada como dinamica