<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<span style="font-family: helvetica,arial,sans-serif;">Díky. <br>
<br>
Ach jo, teprve teď když vím jak ta option vypadá, tak jsem k tomu
našel dokumentaci. Díky.<br>
<br>
Š.<br>
<br>
</span>
<div class="moz-cite-prefix">Dne 11. 11. 20 v 17:21 Jirka Bourek
napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:699390d1-e82a-0413-015b-7b23fcb62ae1@keroub.cz">S
iptables do OUTPUT --syn -J LOG --log-uid - výstup bude v dmesg.
Pro malý počet odchozích spojení to stačí, kdybyste jich tam měl
víc, tak to bude hodně zpomalovat, takže místo toho budete muset
použít ULOG a nějakou službu, která ta data bude číst.
<br>
<br>
On 11. 11. 20 17:04, Stepan Liska wrote:
<br>
<blockquote type="cite">Ahoj,
<br>
<br>
prosím jestli by někdo nedokázal poradit.
<br>
<br>
TL;DR: existuje nějaký způsob jak logovat odchozí spojení na
konkrétní
<br>
porty i s PID či jménem procesu? A jakou máte zkušenost s
důvěryhodností
<br>
dotazů na Spamhaus SBL ohledně IPv6 adres?
<br>
<br>
<br>
Long:
<br>
Řeším takovou hloupou věc - jeden server se mi dostává občas na
<br>
blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už
tam
<br>
zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i
podle
<br>
popisu toho blacklistu asi je možné). Kromě toho je to server
kde je
<br>
odchozího provozu naprosté minimum, takže jsem pomocí grepu v
podstatě
<br>
schopen za poslední 3 dny projít všechny podezřelé adresy. A
nic.
<br>
Začínám mít podezření, jestli tam není hacklé někde nějaké PHP.
Mám tam
<br>
prakticky všude PHP-FPM a každý web tak má své UID a PID a snad
jsou i
<br>
celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit
spojení
<br>
na porty 25,465,587, tak bych mohl vytrasovat co se tam děje.
Ale nějak
<br>
netuším, zda je to vůbec v Linuxu možné? K IPTables nic nemůžu
najít a
<br>
jediné co mě napadá je logovat každou půlvteřinu ss -tlpn
(zkouším to,
<br>
ale moc to nefunguje, ta spojení jsou zřejmě moc krátká). Ale
ono to
<br>
stejně vypadá, že případný objem spamu je naprosto minimální,
třeba jen
<br>
2x za den. Takže ideálně bych potřeboval opravdu nějaké pravidlo
do
<br>
iptables co by mi to zalogovalo včetně nějakého kontextu
procesu.
<br>
<br>
No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak
zlobí
<br>
SBLCSS list na IPv6 adresy, protože to co se objevuje, je jenom
IPv6
<br>
adresa (IPv4 adresa toho stejného serveru tam snad nikdy nebyla)
a
<br>
klidně se stane, že 30 minut poté co mi to zahlásilo že tam
jsme, tak
<br>
tam zase nejsme. Prostě ty dotazy se občas chovají tak nějak
"náhodně".
<br>
Dokonce se mi děje, že když to zkusím z commandline pomocí dig,
tak se
<br>
tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi
to
<br>
vylistuje (a mám pocit že se to mi to už jednou stalo i
obráceně). Máte
<br>
s tím někdo zkušenost (+, -)?
<br>
<br>
Předem díky za každou radu,
<br>
Štěpán.
<br>
<br>
<br>
<br>
_______________________________________________
<br>
Community-list mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<br>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
<br>
<br>
</blockquote>
_______________________________________________
<br>
Community-list mailing list
<br>
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<br>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
<br>
</blockquote>
<br>
</body>
</html>