Encuentre el script de destino de una conexión TCP entrante en nuestro servidor web compartido

Navega tus respuestas
2

Tenemos un servidor web compartido que está siendo monitoreado constantemente por nuestro agente ZABBIX. En algunas horas del día, tenemos un tráfico TCP inusual en el puerto 80. Digamos que tenemos más de 400 conexiones desde la dirección IP de 109.230.67.50 a nuestro servidor web.

Podemos bloquear fácilmente cualquier conexión desde y hacia 109.230.67.50 desde IPTABLES, pero queremos saber cuál de nuestros VIRTUAL HOSTS está recibiendo esta conexión o cuál de nuestros scripts VIRTUAL HOST está haciendo esta conexión saliente a esa dirección IP específica.

Estamos asumiendo que tenemos dos escenarios. Uno para INBOUND y otro para OUTBOUND

¿Existe alguna herramienta o forma de averiguar exactamente qué sitio web recibe la conexión o qué secuencia de comandos de nuestro servidor está realizando una conexión de salida a esa IP?

Cabe destacar que es un servidor CentOS6.5 y estamos usando LITESPEED como servidor web.

Saludos cordiales

    
pregunta Armin 24.11.2014 - 08:02
fuente

4 respuestas

2

Puedes intentar hacer esto.

Escriba un trabajo cron que inserte una entrada de registro en un inicio determinado de la ventana. Supervise el archivo a través de algún tipo de script de visualización de archivos. Y en ese punto usted correlaciona eso con los registros de http. Los registros están en el formato de registro común.

enlace

enlace

Alternativamente, puedes intentar escribir un enlace de filtro de red de espacio de usuario que cargue un intérprete de Python, para que puedas activar todo esto al vuelo. Aunque un python en el kernelspace podría no ser una buena idea.

Espero que ayude!

    
respondido por el munchkin 26.12.2014 - 00:43
fuente
0

Verifique los registros del servidor web (HTTP) y filtre por la dirección IP. Eso mostrará qué recursos (es decir, archivos, scripts, etc.) se solicitan.

    
respondido por el anon 24.11.2014 - 08:19
fuente
0

El bloqueo de una dirección IP en el cortafuegos generalmente significa eliminar o rechazar el paquete inicial de una conexión TCP durante la configuración de la conexión. El host virtual al que el cliente intenta conectarse no se conoce hasta mucho más tarde, una vez que se establece la conexión TCP y el cliente comienza a enviar la solicitud HTTP (específicamente, está buscando el encabezado Host: ).

Es posible que pueda manejar esto a nivel de firewall, usando una combinación elegante de seguimiento de estado e inspección de carga de paquetes, pero es mucho mejor hacerlo a nivel de servidor web, usando cualquier mecanismo de control de acceso que proporcione. .

    
respondido por el Mark 24.11.2014 - 08:39
fuente
0

Ejecutar una herramienta de rastreo de paquetes como wireshark o tcpdump te permitirá examinar claramente el tráfico entre la IP de origen y tu servidor web.

    
respondido por el wireghoul 25.11.2014 - 00:53
fuente

Lea otras preguntas en las etiquetas

Windows CTF / juegos de guerra / ingeniería inversa / desafíos de explotación Almacenamiento seguro de claves privadas