Задать вопрос
@devenv
linux

Как отфильтровать исходящие запросы на 80 порт в Linux?

Добрый день!
Имеется сервер на Amazon, на нем настроены проекты для нескольких разработчиков (веб приложения php).
Получили уведомления от Amazon, о том, что наш сервер создает паразитирующий трафик и приводят лог:
0342b517b53bfe89918fcec979a4bd8a.jpg
На сервере стоит Ubuntu Server, настроен Nginx, php5-fpm, mongo, mysql.
Как можно фильтровать исходящий трафик по 80 порту и писать это в лог файл. Так же хотелось бы видеть из под какого пользователя это происходит и какая программа/процесс вызывает этот адрес.

Сделал grep -rn "administrator/index.php" /
Он ничего не показал.
  • Вопрос задан
  • 6121 просмотр
Комментировать
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
merryjane
@merryjane
Системный администратор
Чтобы понять какая программа, сделайте:
netstat -ntpua | grep 80
и смотрите какой pid будет устанавливать соединения на 80-й порт.

Чтобы посмотреть сам трафик, попробуйте его отфильтровать например tcpdump-ом:
tcpdump -nieth0 tcp port 80
так в базовом виде увидите весь трафик по 80-му порту. Дальше можно добовлять ключики для фильтрации лишнего.
Ответ написан
2 комментария
2 комментария
@zorruch
То, что вам скинул хостер - скорее всего выборка из лога nginx или другого веб-севера на удаленном (не вашем) хосте.
Ваш сервер долбится к ним на хост по http на uri administrator/index.php и получает отказ в авторизации (http ответ 401).
Т.е. вероятнее всего у вас работает некий скрипт (или запускается по крону) который и инициализирует подобные соединения.
Надо понять являются ли такие соединения валидными для вас, или ваш сервер был взломан и используется злоумышленниками для злонамеренных целей =))

В помощь придут команды:
Покажет текущие tcp/udp соединения от сервера/к серверу, а так-же их PID,если запускать ее от рута
netstat -tupn
еще можно поиграться с командой -
tcpdump port 80 -nn
но в ее выводе надо исключить выборку запросов на собственных хост - как это сделать думаю сами разберетесь.

Ну дополнительно еще рекомендую проанализировать все cron файлы ( как пользовательские, так и системные) на подозрительный код и просмотреть список активных процессов на наличие подозрительных скриптов.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Системный инженер/ DevOps (удаленно)
Git in Sky
До 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать игру "Змейка" с помощью библиотеки Pygame на ООП
01 мая 2024, в 17:05
2000 руб./за проект
Гейм дизайнер
01 мая 2024, в 16:45
120000 руб./за проект
Дизайн для IOS утилиты по техническому заданию
01 мая 2024, в 15:48
18000 руб./за проект
Ещё заказы