[vpsFree.cz: community-list] logování TCP spojení se jménem procesu ??

Stepan Liska stepan at comlinks.cz
Wed Nov 11 17:31:13 CET 2020


Díky.

Ach jo, teprve teď když vím jak ta option vypadá, tak jsem k tomu našel
dokumentaci. Díky.

Š.

 
Dne 11. 11. 20 v 17:21 Jirka Bourek napsal(a):
> S iptables do OUTPUT --syn -J LOG --log-uid - výstup bude v dmesg. Pro
> malý počet odchozích spojení to stačí, kdybyste jich tam měl víc, tak
> to bude hodně zpomalovat, takže místo toho budete muset použít ULOG a
> nějakou službu, která ta data bude číst.
>
> On 11. 11. 20 17:04, Stepan Liska wrote:
>> Ahoj,
>>
>> prosím jestli by někdo nedokázal poradit.
>>
>> TL;DR: existuje nějaký způsob jak logovat odchozí spojení na konkrétní
>> porty i s PID či jménem procesu? A jakou máte zkušenost s důvěryhodností
>> dotazů na Spamhaus SBL ohledně IPv6 adres?
>>
>>
>> Long:
>> Řeším takovou hloupou věc - jeden server se mi dostává občas na
>> blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už tam
>> zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i podle
>> popisu toho blacklistu asi je možné). Kromě toho je to server kde je
>> odchozího provozu naprosté minimum, takže jsem pomocí grepu v podstatě
>> schopen za poslední 3 dny projít všechny podezřelé adresy. A nic.
>> Začínám mít podezření, jestli tam není hacklé někde nějaké PHP. Mám tam
>> prakticky všude PHP-FPM a každý web tak má své UID a PID a snad jsou i
>> celkem stabilní (ty PIDy). Takže pokud bych byl schopen ulovit spojení
>> na porty 25,465,587, tak bych mohl vytrasovat co se tam děje. Ale nějak
>> netuším, zda je to vůbec v Linuxu možné? K IPTables nic nemůžu najít a
>> jediné co mě napadá je logovat každou půlvteřinu ss -tlpn (zkouším to,
>> ale moc to nefunguje, ta spojení jsou zřejmě moc krátká). Ale ono to
>> stejně vypadá, že případný objem spamu je naprosto minimální, třeba jen
>> 2x za den. Takže ideálně bych potřeboval opravdu nějaké pravidlo do
>> iptables co by mi to zalogovalo včetně nějakého kontextu procesu.
>>
>> No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak zlobí
>> SBLCSS list na IPv6 adresy, protože to co se objevuje, je jenom IPv6
>> adresa (IPv4 adresa toho stejného serveru tam snad nikdy nebyla) a
>> klidně se stane, že 30 minut poté co mi to zahlásilo že tam jsme, tak
>> tam zase nejsme. Prostě ty dotazy se občas chovají tak nějak "náhodně".
>> Dokonce se mi děje, že když to zkusím z commandline pomocí dig, tak se
>> tváří že nic, ale v tu samou chvíli přes web (spamhaus.org) mi to
>> vylistuje (a mám pocit že se to mi to už jednou stalo i obráceně). Máte
>> s tím někdo zkušenost (+, -)?
>>
>> Předem díky za každou radu,
>> Štěpán.
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20201111/60e86c7b/attachment.html>


More information about the Community-list mailing list