Задать вопрос
@devenv
linux

Как отфильтровать исходящие запросы на 80 порт в Linux?

Добрый день!
Имеется сервер на Amazon, на нем настроены проекты для нескольких разработчиков (веб приложения php).
Получили уведомления от Amazon, о том, что наш сервер создает паразитирующий трафик и приводят лог:
0342b517b53bfe89918fcec979a4bd8a.jpg
На сервере стоит Ubuntu Server, настроен Nginx, php5-fpm, mongo, mysql.
Как можно фильтровать исходящий трафик по 80 порту и писать это в лог файл. Так же хотелось бы видеть из под какого пользователя это происходит и какая программа/процесс вызывает этот адрес.

Сделал grep -rn "administrator/index.php" /
Он ничего не показал.
  • Вопрос задан
  • 6177 просмотров
Комментировать
Подписаться 4 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
merryjane
@merryjane
Системный администратор
Чтобы понять какая программа, сделайте:
netstat -ntpua | grep 80
и смотрите какой pid будет устанавливать соединения на 80-й порт.

Чтобы посмотреть сам трафик, попробуйте его отфильтровать например tcpdump-ом:
tcpdump -nieth0 tcp port 80
так в базовом виде увидите весь трафик по 80-му порту. Дальше можно добовлять ключики для фильтрации лишнего.
Ответ написан
2 комментария
2 комментария
@zorruch
То, что вам скинул хостер - скорее всего выборка из лога nginx или другого веб-севера на удаленном (не вашем) хосте.
Ваш сервер долбится к ним на хост по http на uri administrator/index.php и получает отказ в авторизации (http ответ 401).
Т.е. вероятнее всего у вас работает некий скрипт (или запускается по крону) который и инициализирует подобные соединения.
Надо понять являются ли такие соединения валидными для вас, или ваш сервер был взломан и используется злоумышленниками для злонамеренных целей =))

В помощь придут команды:
Покажет текущие tcp/udp соединения от сервера/к серверу, а так-же их PID,если запускать ее от рута
netstat -tupn
еще можно поиграться с командой -
tcpdump port 80 -nn
но в ее выводе надо исключить выборку запросов на собственных хост - как это сделать думаю сами разберетесь.

Ну дополнительно еще рекомендую проанализировать все cron файлы ( как пользовательские, так и системные) на подозрительный код и просмотреть список активных процессов на наличие подозрительных скриптов.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Смонтировать видео
23 нояб. 2024, в 01:31
1000 руб./за проект
Настроить сайт
23 нояб. 2024, в 00:16
2000 руб./за проект
Разобрать текущий ETL-процесс
22 нояб. 2024, в 23:55
3000 руб./за проект
Ещё заказы