[vpsFree.cz: community-list] logování TCP spojení se jménem procesu ??

Jirka Bourek vpsfree-list at keroub.cz
Wed Nov 11 17:21:31 CET 2020 

S iptables do OUTPUT --syn -J LOG --log-uid - výstup bude v dmesg. Pro 
malý počet odchozích spojení to stačí, kdybyste jich tam měl víc, tak to 
bude hodně zpomalovat, takže místo toho budete muset použít ULOG a 
nějakou službu, která ta data bude číst.

On 11. 11. 20 17:04, Stepan Liska wrote:
> Ahoj,
> 
> prosím jestli by někdo nedokázal poradit.
> 
> TL;DR: existuje nějaký způsob jak logovat odchozí spojení na konkrétní
> porty i s PID či jménem procesu? A jakou máte zkušenost s důvěryhodností
> dotazů na Spamhaus SBL ohledně IPv6 adres?
> 
> 
> Long:
> Řeším takovou hloupou věc - jeden server se mi dostává občas na
> blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už tam
> zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i podle
> popisu toho blacklistu asi je možné). Kromě toho je to server kde je
> odchozího provozu naprosté minimum, takže jsem pomocí grepu v podstatě
> schopen za poslední 3 dny projít všechny podezřelé adresy. A nic.
> Začínám mít podezření, jestli tam není hacklé někde nějaké PHP. Mám tam
> prakticky všude PHP-FPM a každý web tak má své UID a PID a snad jsou i
> celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit spojení
> na porty 25,465,587, tak bych mohl vytrasovat co se tam děje. Ale nějak
> netuším, zda je to vůbec v Linuxu možné? K IPTables nic nemůžu najít a
> jediné co mě napadá je logovat každou půlvteřinu ss -tlpn (zkouším to,
> ale moc to nefunguje, ta spojení jsou zřejmě moc krátká). Ale ono to
> stejně vypadá, že případný objem spamu je naprosto minimální, třeba jen
> 2x za den. Takže ideálně bych potřeboval opravdu nějaké pravidlo do
> iptables co by mi to zalogovalo včetně nějakého kontextu procesu.
> 
> No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak zlobí
> SBLCSS list na IPv6 adresy, protože to co se objevuje, je jenom IPv6
> adresa (IPv4 adresa toho stejného serveru tam snad nikdy nebyla) a
> klidně se stane, že 30 minut poté co mi to zahlásilo že tam jsme, tak
> tam zase nejsme. Prostě ty dotazy se občas chovají tak nějak "náhodně".
> Dokonce se mi děje, že když to zkusím z commandline pomocí dig, tak se
> tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi to
> vylistuje (a mám pocit že se to mi to už jednou stalo i obráceně). Máte
> s tím někdo zkušenost (+, -)?
> 
> Předem díky za každou radu,
> Štěpán.
> 
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>

More information about the Community-list mailing list