URL de misterio en iftop

Navega tus respuestas
1

Por lo tanto, esto puede ser más apropiado para el fallo del servidor, pero parece que pertenece aquí.

Estaba viendo iftop en un servidor que controlo que puede enviar datos a fuentes arbitrarias pero, en teoría, solo puede recibir tráfico de otros servidores detrás del proxy inverso. Noté una URL extraña que desapareció antes de que pudiera saber si estaba entrante o saliente, pero definitivamente no era uno de mis servidores.

¿Hay alguna forma de saber qué programa se estaba comunicando con una URL en particular?

    
pregunta SapphireSun 01.07.2015 - 03:36
fuente

1 respuesta

1

La buena noticia es que es posible que se haya registrado en algún lugar del sistema. Recomendaría buscar nombres de dominio en todos los registros del sistema que pueda durante ese período, mientras excluye su dominio de la búsqueda con grep u otra herramienta similar. Este es un punto de inicio sugerido para una expresión regular de nombres de dominio si no está familiarizado con ellos de la mano. Sé que no lo soy y siempre tengo que hacer referencia a ellos: enlace .

Ahora las malas noticias. Si el sistema está comprometido, los registros locales podrían ser manipulados o destruidos por un atacante. Además, existe una buena posibilidad de que no haya registro alguno en el sistema y que nunca haya existido. Le sugiero que se asegure de tener un registro centralizado si no lo ha hecho ya. Incluso si lo hace, sugeriría revisar su configuración para asegurarse de que está capturando todos los registros que espera. Además, le recomiendo que configure sus servicios para conectarse a través de servidores proxy u otros mecanismos que registran sus conexiones.

    
respondido por el theterribletrivium 01.07.2015 - 08:44
fuente

Lea otras preguntas en las etiquetas

¿Cómo identificar un dispositivo desconocido que tiene ARP en mi red? ¿Cómo puedo garantizar la no modificación de los datos con firmas?