Determine qué es lo que hace las conexiones salientes

Navega tus respuestas
3

Tengo un servidor Centos 7 que ejecuta httpd para un servicio de correo web. Estoy bloqueando las conexiones salientes, incluidos los puertos 80 y 443. Estoy haciendo esto con iptables en la máquina.

Ahora, mirando los registros, veo que el servidor está tratando de hacer conexiones salientes a los puertos 80 y 443.

Al utilizar --log-uid en iptables, pude ver que el usuario que realiza esas conexiones es apache , que es el usuario que ejecuta httpd.

Las conexiones se producen en momentos aleatorios a lo largo del día y en aproximadamente 50 direcciones IP diferentes en el puerto 80 y más del doble que en el puerto 443.

¿Cómo puedo determinar qué proceso está realizando esas conexiones?

¿Y hay alguna manera de determinar qué está pasando sin permitir realmente esas conexiones y capturar el tráfico?

    
pregunta IamNaN 10.01.2018 - 12:57
fuente

2 respuestas

3

Además de rastrear el proceso con netstat o lsof, en el sistema afectado, en lugar de bloquear el tráfico, puede usar iptables para redirigir el tráfico a los servicios que se ejecutan en los puertos 80 y 443 que usted controla. De esta manera, podría obtener información sobre los encabezados HTTP y a qué tipo de contenido se accede.

    
respondido por el multithr3at3d 10.01.2018 - 22:42
fuente
1

Sí, hay maneras de hacerlo.

  • tcpdump el tráfico para ver qué tipos de paquetes se están emitiendo, desde qué puerto.
  • lsof: los procesos para ver cuál está usando ese puerto.

Combine la ejecución de lsof periódicamente (cada 10 s o cada 1 s) con crontab y el registro de la salida en el archivo también le proporcionará cierta información sobre cuándo se producen esas solicitudes.

Un error en su última declaración es que necesita permitir que el tráfico lo capture. Sólo tienes que capturarlo en la máquina local. Esto le dará ideas sobre qué investigar más a fondo.

Supongo que es posible que tenga algunos servidores virtuales de Apache que emitan algunos chequeos de salud que no están deshabilitados. O un humano que se conecta al usuario de apache y emite solicitudes de enrollamiento. Pero eso es solo una conjetura, siempre verifique.

    
respondido por el Mindaugas Bernatavičius 10.01.2018 - 13:07
fuente

Lea otras preguntas en las etiquetas

¿La información de clave pública del sujeto debe ser la misma en 2 certificados diferentes creados desde la misma CSR? Concatenación de archivos encriptados por la misma clave