Quindi questo potrebbe essere più appropriato per serverfault, ma sembra che appartenga qui.
Stavo guardando iftop su un server che controllo che può inviare dati a fonti arbitrarie ma in teoria può ricevere solo traffico da altri server dietro il proxy inverso. Ho notato un URL strano che è scomparso prima che potessi dire se era in entrata o in uscita, ma non era sicuramente uno dei miei server.
C'è un modo per dire quale programma stava comunicando con un particolare URL?
La buona notizia è che è possibile che sia stato registrato da qualche parte nel sistema. Ti consigliamo di cercare tutti i log di sistema che puoi durante quel periodo di tempo per i nomi di dominio, escludendo il tuo dominio dalla ricerca con grep o un altro strumento simile. Ecco un punto di partenza suggerito per un regex di un nome di dominio se non ti è familiare. So che non sono e devo sempre fare riferimento a loro: link .
Ora per le cattive notizie. Se il sistema è compromesso, i registri locali potrebbero essere manomessi o distrutti da un utente malintenzionato. Inoltre, ci sono buone probabilità che non ci sia alcun record sul sistema e che non lo sia mai stato. Ti suggerisco di assicurarti di avere la registrazione centralizzata se non lo hai già fatto. Anche se lo fai, ti suggerirei di rivedere la tua configurazione per assicurarti di catturare tutti i log che ti aspetti. Inoltre, ti consiglio vivamente di configurare i tuoi servizi per la connessione tramite proxy o altri meccanismi che registrano le loro connessioni.