come verificare quale processo si connette al mio calamaro

Naviga le tue risposte
3

Ho trovato oggi che ho un proxy aperto ( squid su Debian). Ho corretto la regola del firewall e ora non lo sono. Ma qualcuno usa ancora questo proxy - sembra che stia effettuando il proxy dall'interno della mia macchina. Cerco di trovare quale processo sta usando il mio proxy.

Ho Debian con lxc-containers . squid è in un contenitore ( 172.16.0.2 ), e penso che quel processo che sta usando mio squid sia sul computer host: 

1520955127.112     43 172.16.0.1 TCP_MISS/200 585 GET http://766dsw.top/ - HIER_DIRECT/54.36.219.10 text/html

Come ottenere il processo? (Forse non è da dentro?) Eseguo il iptables -j LOG e ho ottenuto questo: 

Mar 13 18:14:56 zenon kernel: FORWARD  IN=enp2s0 OUT=lxcbr0 MAC=00:19:b9:1c:83:c4:00:1d:aa:cf:bd:a0:08:00 SRC=101.254.225.243 DST=172.16.0.2 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=14541 DF PROTO=TCP SPT=49875 DPT=8080 WINDOW=256 RES=0x00 ACK URGP=0

ma rimuovo ogni regola di reindirizzamento dal firewall alla porta 8080 e all'indirizzo 172.16.0.2 ... e naturalmente iptables -A FORWARD -P DROP

e in qualche modo passa ancora ....

    
posta Tomasz Brzezina 13.03.2018 - 16:33
fonte

1 risposta

1

Finalmente trovato il problema - ovviamente era un firewall.

Uso la lista personale da questo tutorial e metto le regole iptables -I FORWARD -j droplist da qualche parte nel mezzo delle regole. Ma questa regola deve essere la prima regola 

#!/bin/bash
_input="/root/blocked.ip.db"
IPT=/sbin/iptables

$IPT -F 
$IPT -F nat
$IPT -A INPUT -P DROP
$IPT -A OUTPUT -P DROP
$IPT -A FORWARD -P DROP

$IPT -X droplist
$IPT -N droplist
egrep -v "^#|^$" $_input | while IFS= read -r ip
do
    $IPT -A droplist -i eth1 -s $ip -j LOG --log-prefix "IP BlockList "
    $IPT -A droplist -i eth1 -s $ip -j DROP
done


# Drop it
$IPT -I INPUT -j droplist
$IPT -I OUTPUT -j droplist
$IPT -I FORWARD -j droplist


and the rest of the rules
    
risposta data 13.03.2018 - 18:38
fonte

Leggi altre domande sui tag

Convalida i nomi di colonne e tabelle del database per impedire SQLi? Come posso assicurarmi che il mio computer sia infetto e sapere se devo nuotare dall'orbita?