<html>
  <head>
    <meta http-equiv="content-type" content="text/html;
      charset=ISO-8859-2">
  </head>
  <body>
    Ahoj,<br>
    <br>
    prosím jestli by někdo nedokázal poradit. <br>
    <br>
    TL;DR: existuje nějaký způsob jak logovat odchozí spojení na
    konkrétní porty i s PID či jménem procesu? A jakou máte zkušenost s
    důvěryhodností dotazů na Spamhaus SBL ohledně IPv6 adres? <br>
    <br>
    <br>
    Long:<br>
    Řeším takovou hloupou věc - jeden server se mi dostává občas na
    blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už tam
    zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i
    podle popisu toho blacklistu asi je možné). Kromě toho je to server
    kde je odchozího provozu naprosté minimum, takže jsem pomocí grepu v
    podstatě schopen za poslední 3 dny projít všechny podezřelé adresy.
    A nic. Začínám mít podezření, jestli tam není hacklé někde nějaké
    PHP. Mám tam prakticky všude PHP-FPM a každý web tak má své UID a
    PID a snad jsou i celkem stabilní (ty PIDy). Takže pokud bych byl
    schopen ulovit spojení na porty 25,465,587, tak bych mohl vytrasovat
    co se tam děje. Ale nějak netuším, zda je to vůbec v Linuxu možné? K
    IPTables nic nemůžu najít a jediné co mě napadá je logovat každou
    půlvteřinu ss -tlpn (zkouším to, ale moc to nefunguje, ta spojení
    jsou zřejmě moc krátká). Ale ono to stejně vypadá, že případný objem
    spamu je naprosto minimální, třeba jen 2x za den. Takže ideálně bych
    potřeboval opravdu nějaké pravidlo do iptables co by mi to
    zalogovalo včetně nějakého kontextu procesu. <br>
    <br>
    No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak
    zlobí SBLCSS list na IPv6 adresy, protože to co se objevuje, je
    jenom IPv6 adresa (IPv4 adresa toho stejného serveru tam snad nikdy
    nebyla) a klidně se stane, že 30 minut poté co mi to zahlásilo že
    tam jsme, tak tam zase nejsme. Prostě ty dotazy se občas chovají tak
    nějak "náhodně". Dokonce se mi děje, že když to zkusím z commandline
    pomocí dig, tak se tváří že nic, ale v tu samou chvíli přes web
    (spamhaus.org) mi to vylistuje (a mám pocit že se to mi to už jednou
    stalo i obráceně). Máte s tím někdo zkušenost (+, -)?<br>
    <span style="font-family: helvetica,arial,sans-serif;"><br>
      Předem díky za každou radu,<br>
      Štěpán.<br>
    </span><br>
  </body>
</html>