Tengo un servidor Centos 7 que ejecuta httpd para un servicio de correo web. Estoy bloqueando las conexiones salientes, incluidos los puertos 80 y 443. Estoy haciendo esto con iptables en la máquina.
Ahora, mirando los registros, veo que el servidor está tratando de hacer conexiones salientes a los puertos 80 y 443.
Al utilizar --log-uid
en iptables, pude ver que el usuario que realiza esas conexiones es apache
, que es el usuario que ejecuta httpd.
Las conexiones se producen en momentos aleatorios a lo largo del día y en aproximadamente 50 direcciones IP diferentes en el puerto 80 y más del doble que en el puerto 443.
¿Cómo puedo determinar qué proceso está realizando esas conexiones?
¿Y hay alguna manera de determinar qué está pasando sin permitir realmente esas conexiones y capturar el tráfico?