追踪攻击

Question

我注意到了以下许多方面：

Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0

我怎么知道哪个网站在发送这样的攻击？

PHP正在以fast_cgid的形式与CloudLinux一起运行。

Answer 1

如果正如您的日志所显示的那样，数据包起源于您的系统，那么您需要知道的不是“哪个网站正在发送这样的攻击”，而是您的系统上的什么(或谁)正在产生流量。

现在，在这种情况下，阿曼达备份系统最常使用的是TCP端口10080。如果您已经将Amanda设置为将您的服务器备份到远程主机，那么这可能是导致通信量的原因(如果它被阻塞，那么您的备份就无法工作！)

(有些电脑游戏也使用TCP端口10080，但我想你不是在这个Linux上玩电脑游戏.)

要了解是谁发起了连接，请修改每个防火墙日志规则以添加--log-uid。启动连接的用户ID随后将被记录为UID=###。举个例子：

iptables ..... -j LOG --log-uid ...