Trova lo script di destinazione di una connessione TCP in entrata sul nostro webserver condiviso

Naviga le tue risposte
2

Abbiamo un server web condiviso che viene costantemente monitorato dal nostro agente ZABBIX. In alcune ore del giorno abbiamo un traffico TCP insolito sulla porta 80. Diciamo che abbiamo oltre 400 connessioni dall'indirizzo IP di 109.230.67.50 al nostro server web.

Possiamo facilmente bloccare qualsiasi connessione da e per 109.230.67.50 da IPTABLES ma vogliamo sapere quale dei nostri HOST VIRTUALI sta ricevendo questa connessione o quale dei nostri script VIRTUAL HOST sta effettuando questa connessione in uscita a quell'indirizzo IP specifico.

Supponiamo di avere due scenari. Uno per INBOUND e uno per OUTBOUND

Esiste uno strumento o un modo per scoprire esattamente quale sito Web sta ricevendo la connessione o quale script sul nostro server sta effettuando la connessione in uscita a tale IP?

È interessante notare che è un server CentOS6.5 e utilizziamo LITESPEED come server web.

I migliori saluti

    
posta Armin 24.11.2014 - 08:02
fonte

4 risposte

2

Potresti provare a farlo.

Scrivi un cron job che inserisce una voce di log ad un certo inizio della finestra. Monitorare il file attraverso una sorta di script di visualizzazione dei file. E a quel punto lo colleghi ai registri http. I log sono nel formato di registro comune.

link

link

In alternativa potresti provare a scrivere un hook netfilter per gli utenti che carica un interprete python, così puoi attivare tutto questo al volo. Anche se un python di kernelspace potrebbe non essere una buona idea.

Spero che ti aiuti!

    
risposta data 26.12.2014 - 00:43
fonte
0

Controllare i registri del server Web (HTTP) e filtrarli in base all'indirizzo IP. Questo mostrerà quali risorse (cioè file, script, ecc.) Vengono richieste.

    
risposta data 24.11.2014 - 08:19
fonte
0

Il blocco di un indirizzo IP sul firewall in genere significa eliminare o rifiutare il pacchetto iniziale di una connessione TCP durante l'impostazione della connessione. L'host virtuale a cui il client sta tentando di connettersi non è noto fino a molto più tardi, una volta stabilita la connessione TCP e il client inizia a inviare la richiesta HTTP (in particolare, stai cercando l'intestazione Host: ).

Potresti essere in grado di gestirlo a livello di firewall, usando una combinazione ingegnosa di controllo dello stato del carico e del payload dei pacchetti, ma è molto meglio farlo a livello di server web, usando i meccanismi di controllo degli accessi che fornisce .

    
risposta data 24.11.2014 - 08:39
fonte
0

L'esecuzione di uno strumento di sniffing dei pacchetti come wireshark o tcpdump ti consente di esaminare chiaramente il traffico tra l'IP di origine e il tuo server web.

    
risposta data 25.11.2014 - 00:53
fonte

Leggi altre domande sui tag

È questo il suono idea TOTP (tempo basato su una sola volta) di PHP? L'accesso automatico del thread dall'implementazione della posta elettronica è sicuro / buona esperienza utente?