iftop中的神秘URL

Question

因此，这可能更适合于服务器错误，但它似乎属于这里。

我在我控制的服务器上监视iftop，该服务器可以将数据发送到任意源，但理论上只能从反向代理后面的其他服务器接收流量。我注意到了一个奇怪的URL，它在我看不出它是入站还是出站之前就消失了，但它绝对不是我的服务器之一。

有什么方法可以告诉哪个程序与特定URL通信吗？

Answer 1

好消息是它可能被记录在系统的某个地方。我建议在这段时间内搜索域名的所有系统日志，同时将您的域排除在grep或其他类似工具的搜索之外。如果你对域名regex不熟悉的话，这里有一个建议的起点。我知道我不是，而且必须总是引用它们：https://stackoverflow.com/questions/21172095/grep-valid-domain-regex。

现在是坏消息。如果系统被破坏，本地日志可能会被攻击者篡改或破坏。此外，很有可能系统上没有任何记录，而且从未记录过。如果还没有，我建议确保您有集中的日志记录。即使您这样做了，我也建议您检查您的配置，以确保您正在捕获您所期望的所有日志。此外，我强烈建议您将服务配置为通过代理或记录其连接的其他机制进行连接。