Determina cosa sta facendo le connessioni in uscita

Naviga le tue risposte
3

Ho un server Centos 7 che esegue httpd per un servizio di webmail. Sto bloccando le connessioni in uscita, comprese le porte 80 e 443. Lo sto facendo con iptables sulla macchina.

Ora guardando i log vedo che il server sta cercando di effettuare connessioni in uscita alle porte 80 e 443.

Usando --log-uid in iptables sono stato in grado di vedere che l'utente che effettua quelle connessioni è apache che è l'utente che esegue httpd.

Le connessioni avvengono in momenti casuali durante il giorno e a circa 50 diversi indirizzi IP sulla porta 80 e più del doppio sulla porta 443.

Come posso determinare quale processo sta effettuando tali connessioni?

E c'è un modo per determinare cosa sta succedendo senza effettivamente consentire tali connessioni e catturare il traffico?

    
posta IamNaN 10.01.2018 - 12:57
fonte

2 risposte

3

Oltre a rintracciare il processo con netstat o lsof, sul sistema interessato, invece di bloccare il traffico, è possibile utilizzare iptables per reindirizzare il traffico ai servizi in esecuzione sulle porte 80 e 443 che controlli. In questo modo, potresti ottenere alcune informazioni sulle intestazioni HTTP e sul tipo di contenuto a cui accedere.

    
risposta data 10.01.2018 - 22:42
fonte
1

Sì, ci sono modi per farlo.

  • tcpdump il traffico per vedere quali tipi di pacchetti vengono emessi, da quale porta.
  • lsof - i processi per vedere quale usa quella porta.

Combina periodicamente lsof in esecuzione (ogni 10s o ogni 1s) con crontab e registrando l'output in file ti darebbe anche una certa comprensione su quando si verificano tali richieste.

Un equivoco nella tua ultima affermazione è che devi consentire al traffico di acquisirlo. Basta catturarlo sulla macchina locale. Questo ti darà idee su cosa investigare ulteriormente.

Direi che potresti avere alcuni server virtuali di Apache che rilasciano alcuni healthcheck che non sono disabilitati. O un umano che si connette all'utente apache ed emette richieste di arricciatura. Ma questa è solo una supposizione, verifica sempre.

    
risposta data 10.01.2018 - 13:07
fonte

Leggi altre domande sui tag

Qual è una buona metrica per il rilevamento dell'estrazione dei dati sul canale nascosto? Quali considerazioni sulla sicurezza dovrei fare quando scelgo una app TOTP?