Díky.
Ach jo, teprve teď když vím jak ta option vypadá, tak jsem k tomu
našel dokumentaci. Díky.
Š.
Dne 11. 11. 20 v 17:21 Jirka Bourek
napsal(a):
S
iptables do OUTPUT --syn -J LOG --log-uid - výstup bude v dmesg.
Pro malý počet odchozích spojení to stačí, kdybyste jich tam měl
víc, tak to bude hodně zpomalovat, takže místo toho budete muset
použít ULOG a nějakou službu, která ta data bude číst.
On 11. 11. 20 17:04, Stepan Liska wrote:
Ahoj,
prosím jestli by někdo nedokázal poradit.
TL;DR: existuje nějaký způsob jak logovat odchozí spojení na
konkrétní
porty i s PID či jménem procesu? A jakou máte zkušenost s
důvěryhodností
dotazů na Spamhaus SBL ohledně IPv6 adres?
Long:
Řeším takovou hloupou věc - jeden server se mi dostává občas na
blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už
tam
zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i
podle
popisu toho blacklistu asi je možné). Kromě toho je to server
kde je
odchozího provozu naprosté minimum, takže jsem pomocí grepu v
podstatě
schopen za poslední 3 dny projít všechny podezřelé adresy. A
nic.
Začínám mít podezření, jestli tam není hacklé někde nějaké PHP.
Mám tam
prakticky všude PHP-FPM a každý web tak má své UID a PID a snad
jsou i
celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit
spojení
na porty 25,465,587, tak bych mohl vytrasovat co se tam děje.
Ale nějak
netuším, zda je to vůbec v Linuxu možné? K IPTables nic nemůžu
najít a
jediné co mě napadá je logovat každou půlvteřinu ss -tlpn
(zkouším to,
ale moc to nefunguje, ta spojení jsou zřejmě moc krátká). Ale
ono to
stejně vypadá, že případný objem spamu je naprosto minimální,
třeba jen
2x za den. Takže ideálně bych potřeboval opravdu nějaké pravidlo
do
iptables co by mi to zalogovalo včetně nějakého kontextu
procesu.
No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak
zlobí
SBLCSS list na IPv6 adresy, protože to co se objevuje, je jenom
IPv6
adresa (IPv4 adresa toho stejného serveru tam snad nikdy nebyla)
a
klidně se stane, že 30 minut poté co mi to zahlásilo že tam
jsme, tak
tam zase nejsme. Prostě ty dotazy se občas chovají tak nějak
"náhodně".
Dokonce se mi děje, že když to zkusím z commandline pomocí dig,
tak se
tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi
to
vylistuje (a mám pocit že se to mi to už jednou stalo i
obráceně). Máte
s tím někdo zkušenost (+, -)?
Předem díky za každou radu,
Štěpán.
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list