<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <span style="font-family: helvetica,arial,sans-serif;">FYI pro ty co

      zajímá jak to dopadlo:<br>

      <br>

      Tak jsem se zmýlil - ono to sice ve webové administraci WEDOSu

      vypadá že to je /64, ale ve skutečnosti jsou volitelné jenom

      poslední 2 byty, takže reálně mám /112, což jsem následně dohledal

      i v helpdesku. V nastavení je to síť /64, ale má jí víc zákazníků

      najednou, každý má ten /112 kousek. Tak proto jsem na spamlistu,

      opravdu to asi bude zlobivý soused. Ode mě opravdu dlouhodobě nic

      špatného neodchází, už kontroluju pomalu každé spojení. <br>

      <br>

      Nicméně protože evidentně nejsem první, tak WEDOS teď přiděluje

      nové rozsahy a ty už jsou /64 (tedy zase je to v nastavení /48 a

      jednotlivý server z toho má /64). Takže změním odesílací IP a je

      to. <br>

      <br>

      Díky moc všem za pomoc,<br>

      Štěpán.<br>

      <br>

    </span>

    <div class="moz-cite-prefix">Dne 11. 11. 20 v 17:23 Stepan Liska

      napsal(a):<br>

    </div>

    <blockquote type="cite"

      cite="mid:d07f0c11-7ccb-efb7-58db-73e529a96dec@comlinks.cz">

      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

      <span style="font-family: helvetica,arial,sans-serif;">WEDOS

        tvrdí, že mám celý /64.<br>

          </span>

      <div class="moz-cite-prefix">Dne 11. 11. 20 v 17:16 Václav Dušek

        napsal(a):<br>

      </div>

      <blockquote type="cite"

        cite="mid:010369e4-d2f7-01cf-e3df-b007a8da77eb@cz-pro.cz">CSS

        lists both IPv4 addresses (/32) and IPv6 addresses (/64) <br>

        <br>

        Máš celý rozsah /64 nebo jen jeho část? <br>

        <br>

        Že by zlobil "soused"? <br>

        <br>

        Dne 11.11.2020 v 17:04 Stepan Liska napsal(a): <br>

        <blockquote type="cite">Ahoj, <br>

          <br>

          prosím jestli by někdo nedokázal poradit. <br>

          <br>

          TL;DR: existuje nějaký způsob jak logovat odchozí spojení na

          konkrétní porty i s PID či jménem procesu? A jakou máte

          zkušenost s důvěryhodností dotazů na Spamhaus SBL ohledně IPv6

          adres? <br>

          <br>

          <br>

          Long: <br>

          Řeším takovou hloupou věc - jeden server se mi dostává občas

          na blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu,

          tak už tam zpravidla není (vypadá to, že tam visí vždy jen pár

          hodin, což i podle popisu toho blacklistu asi je možné). Kromě

          toho je to server kde je odchozího provozu naprosté minimum,

          takže jsem pomocí grepu v podstatě schopen za poslední 3 dny

          projít všechny podezřelé adresy. A nic. Začínám mít podezření,

          jestli tam není hacklé někde nějaké PHP. Mám tam prakticky

          všude PHP-FPM a každý web tak má své UID a PID a snad jsou i

          celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit

          spojení na porty 25,465,587, tak bych mohl vytrasovat co se

          tam děje. Ale nějak netuším, zda je to vůbec v Linuxu možné? K

          IPTables nic nemůžu najít a jediné co mě napadá je logovat

          každou půlvteřinu ss -tlpn (zkouším to, ale moc to nefunguje,

          ta spojení jsou zřejmě moc krátká). Ale ono to stejně vypadá,

          že případný objem spamu je naprosto minimální, třeba jen 2x za

          den. Takže ideálně bych potřeboval opravdu nějaké pravidlo do

          iptables co by mi to zalogovalo včetně nějakého kontextu

          procesu. <br>

          <br>

          No a pak mě ještě napadá jedna možnost - a to že Spamhausu

          nějak zlobí SBLCSS list na IPv6 adresy, protože to co se

          objevuje, je jenom IPv6 adresa (IPv4 adresa toho stejného

          serveru tam snad nikdy nebyla) a klidně se stane, že 30 minut

          poté co mi to zahlásilo že tam jsme, tak tam zase nejsme.

          Prostě ty dotazy se občas chovají tak nějak "náhodně". Dokonce

          se mi děje, že když to zkusím z commandline pomocí dig, tak se

          tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi

          to vylistuje (a mám pocit že se to mi to už jednou stalo i

          obráceně). Máte s tím někdo zkušenost (+, -)? <br>

          <br>

          Předem díky za každou radu, <br>

          Štěpán. <br>

          <br>

          <br>

          _______________________________________________ <br>

          Community-list mailing list <br>

          <a class="moz-txt-link-abbreviated"

            href="mailto:Community-list@lists.vpsfree.cz"

            moz-do-not-send="true">Community-list@lists.vpsfree.cz</a> <br>

          <a class="moz-txt-link-freetext"

            href="http://lists.vpsfree.cz/listinfo/community-list"

            moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a>

          <br>

          <br>

        </blockquote>

        <br>

      </blockquote>

      <br>

    </blockquote>

    <br>

  </body>

</html>