Dne 11. 11. 20 v 17:23 Stepan Liska
napsal(a):
WEDOS
tvrdí, že mám celý /64.
Dne 11. 11. 20 v 17:16 Václav Dušek
napsal(a):
CSS
lists both IPv4 addresses (/32) and IPv6 addresses (/64)
Máš celý rozsah /64 nebo jen jeho část?
Že by zlobil "soused"?
Dne 11.11.2020 v 17:04 Stepan Liska napsal(a):
Ahoj,
prosím jestli by někdo nedokázal poradit.
TL;DR: existuje nějaký způsob jak logovat odchozí spojení na
konkrétní porty i s PID či jménem procesu? A jakou máte
zkušenost s důvěryhodností dotazů na Spamhaus SBL ohledně IPv6
adres?
Long:
Řeším takovou hloupou věc - jeden server se mi dostává občas
na blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu,
tak už tam zpravidla není (vypadá to, že tam visí vždy jen pár
hodin, což i podle popisu toho blacklistu asi je možné). Kromě
toho je to server kde je odchozího provozu naprosté minimum,
takže jsem pomocí grepu v podstatě schopen za poslední 3 dny
projít všechny podezřelé adresy. A nic. Začínám mít podezření,
jestli tam není hacklé někde nějaké PHP. Mám tam prakticky
všude PHP-FPM a každý web tak má své UID a PID a snad jsou i
celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit
spojení na porty 25,465,587, tak bych mohl vytrasovat co se
tam děje. Ale nějak netuším, zda je to vůbec v Linuxu možné? K
IPTables nic nemůžu najít a jediné co mě napadá je logovat
každou půlvteřinu ss -tlpn (zkouším to, ale moc to nefunguje,
ta spojení jsou zřejmě moc krátká). Ale ono to stejně vypadá,
že případný objem spamu je naprosto minimální, třeba jen 2x za
den. Takže ideálně bych potřeboval opravdu nějaké pravidlo do
iptables co by mi to zalogovalo včetně nějakého kontextu
procesu.
No a pak mě ještě napadá jedna možnost - a to že Spamhausu
nějak zlobí SBLCSS list na IPv6 adresy, protože to co se
objevuje, je jenom IPv6 adresa (IPv4 adresa toho stejného
serveru tam snad nikdy nebyla) a klidně se stane, že 30 minut
poté co mi to zahlásilo že tam jsme, tak tam zase nejsme.
Prostě ty dotazy se občas chovají tak nějak "náhodně". Dokonce
se mi děje, že když to zkusím z commandline pomocí dig, tak se
tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi
to vylistuje (a mám pocit že se to mi to už jednou stalo i
obráceně). Máte s tím někdo zkušenost (+, -)?
Předem díky za každou radu,
Štěpán.
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list