На сервере сидит падла =)
Хочу её найти. Рассылает всякие запросы. Хостер жалуется.
Записал tcpdump в файл. Открыл файл в Wireshark.
Нашел исходящие с моего ip GET запросы непонятно куда.
Какие параметры смотреть чтобы откопать источник запросы?
Порт? pid процесса? Как дальше действовать?
Пишет что source port: 33616, dst port 80. Если я правильно понимаю с порта 33616 моего сервера на порт 80 отправлен GET запрос.
Дальше по порту мне нужно найти процесс. Пишу: fuser 33616/tcp, но ничего нет. Я что-то делаю или рассуждаю как то не так. Подскажите?
И что означает подсветка в Wireshark? Она помогает мне или просто показывает "сломанные" пакеты?
tcpdump вам ничего не расскажет о том кто источник трафика.
лучше попробуйте командой netstat -antp |grep :80
посмотреть есть ли исходящие соединения с вашего ип на другие
пример как выглядит телнет на google.com порт 80:
tcp 0 0 192.168.0.12:54428 172.217.5.78:80 ESTABLISHED 16839/telnet
где 168339 PID(номер) процесса который это соединение создал.
дальше командой ps -fc номер процесса - смотрите что это и кем запущенно.
После netstat -antp |grep :80
Увидел только nginx процессы с pid 498, 499.
Выполнил ps -fc и получил:
www-data 498 497 TS 19 11:21 ? S 7:32 nginx: worker process
www-data 499 497 TS 19 11:21 ? S 6:49 nginx: worker process
также много строк со статусом TIME_WAIT, LAST_ACK, FIN_WAIT2. Что это значит?
Но что мне это дает? У меня есть NGINX на котором висит сайт. Как посещения обычных пользователей в данном случае отделить от вредоносного исходящего соединения?
Средний
