3 votos

Seguimiento hacia ataques

He notado muchos de los siguientes:

Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0

¿Cómo puedo calcular qué sitio web es el envío de tal ataque?

PHP se ejecuta como fast_cgid con CloudLinux.

2voto

Michael Hampton Puntos88271

Si, como tu log parece indicar, se originó el paquete con su sistema, entonces usted necesita para averiguar no "la página web que es el envío de un ataque de ese tipo", pero ¿qué (o quién) en su sistema está generando el tráfico.

Ahora con eso fuera del camino, el puerto TCP 10080 es usado más a menudo por la Amanda sistema de copia de seguridad. Si ha configurado Amanda copia de seguridad del servidor a un host remoto, entonces esto puede ser lo que está causando el tráfico (y si está bloqueado, entonces las copias de seguridad no están funcionando!).

(Algunos juegos de PC también se usa el puerto TCP 10080, pero presumo que no están jugando juegos de PC en este cuadro de Linux...)

Para averiguar quién inició la conexión, modificar cada uno de los registro de firewall reglas para agregar --log-uid. El ID de usuario que inició la conexión, a continuación, se registra como UID=###. Un ejemplo:

iptables ..... -j LOG --log-uid ...

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;