[vpsFree.cz: community-list] logování TCP spojení se jménem procesu ??
Stepan Liska
stepan at comlinks.cz
Fri Nov 13 15:52:45 CET 2020
FYI pro ty co zajímá jak to dopadlo:
Tak jsem se zmýlil - ono to sice ve webové administraci WEDOSu vypadá že
to je /64, ale ve skutečnosti jsou volitelné jenom poslední 2 byty,
takže reálně mám /112, což jsem následně dohledal i v helpdesku. V
nastavení je to síť /64, ale má jí víc zákazníků najednou, každý má ten
/112 kousek. Tak proto jsem na spamlistu, opravdu to asi bude zlobivý
soused. Ode mě opravdu dlouhodobě nic špatného neodchází, už kontroluju
pomalu každé spojení.
Nicméně protože evidentně nejsem první, tak WEDOS teď přiděluje nové
rozsahy a ty už jsou /64 (tedy zase je to v nastavení /48 a jednotlivý
server z toho má /64). Takže změním odesílací IP a je to.
Díky moc všem za pomoc,
Štěpán.
Dne 11. 11. 20 v 17:23 Stepan Liska napsal(a):
> WEDOS tvrdí, že mám celý /64.
>
> Dne 11. 11. 20 v 17:16 Václav Dušek napsal(a):
>> CSS lists both IPv4 addresses (/32) and IPv6 addresses (/64)
>>
>> Máš celý rozsah /64 nebo jen jeho část?
>>
>> Že by zlobil "soused"?
>>
>> Dne 11.11.2020 v 17:04 Stepan Liska napsal(a):
>>> Ahoj,
>>>
>>> prosím jestli by někdo nedokázal poradit.
>>>
>>> TL;DR: existuje nějaký způsob jak logovat odchozí spojení na
>>> konkrétní porty i s PID či jménem procesu? A jakou máte zkušenost s
>>> důvěryhodností dotazů na Spamhaus SBL ohledně IPv6 adres?
>>>
>>>
>>> Long:
>>> Řeším takovou hloupou věc - jeden server se mi dostává občas na
>>> blacklist (Spamhaus SBLCSS), ale když se k tomu dostanu, tak už tam
>>> zpravidla není (vypadá to, že tam visí vždy jen pár hodin, což i
>>> podle popisu toho blacklistu asi je možné). Kromě toho je to server
>>> kde je odchozího provozu naprosté minimum, takže jsem pomocí grepu v
>>> podstatě schopen za poslední 3 dny projít všechny podezřelé adresy.
>>> A nic. Začínám mít podezření, jestli tam není hacklé někde nějaké
>>> PHP. Mám tam prakticky všude PHP-FPM a každý web tak má své UID a
>>> PID a snad jsou i celkem stabilní (ty PIDy). Takže pokud bych byl
>>> schopen ulovit spojení na porty 25,465,587, tak bych mohl vytrasovat
>>> co se tam děje. Ale nějak netuším, zda je to vůbec v Linuxu možné? K
>>> IPTables nic nemůžu najít a jediné co mě napadá je logovat každou
>>> půlvteřinu ss -tlpn (zkouším to, ale moc to nefunguje, ta spojení
>>> jsou zřejmě moc krátká). Ale ono to stejně vypadá, že případný objem
>>> spamu je naprosto minimální, třeba jen 2x za den. Takže ideálně bych
>>> potřeboval opravdu nějaké pravidlo do iptables co by mi to
>>> zalogovalo včetně nějakého kontextu procesu.
>>>
>>> No a pak mě ještě napadá jedna možnost - a to že Spamhausu nějak
>>> zlobí SBLCSS list na IPv6 adresy, protože to co se objevuje, je
>>> jenom IPv6 adresa (IPv4 adresa toho stejného serveru tam snad nikdy
>>> nebyla) a klidně se stane, že 30 minut poté co mi to zahlásilo že
>>> tam jsme, tak tam zase nejsme. Prostě ty dotazy se občas chovají tak
>>> nějak "náhodně". Dokonce se mi děje, že když to zkusím z commandline
>>> pomocí dig, tak se tváří že nic, ale v tu samou chvíli přes web
>>> (spamhaus.org) mi to vylistuje (a mám pocit že se to mi to už jednou
>>> stalo i obráceně). Máte s tím někdo zkušenost (+, -)?
>>>
>>> Předem díky za každou radu,
>>> Štěpán.
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20201113/ab7b9219/attachment.html>
More information about the Community-list
mailing list