monitoring odchoziho UDP trafficu
Ondrej Svoboda
svoboda na svoon.net
Pondělí Říjen 11 19:42:44 CEST 2010
dnes jsem zkusil nasledujici vec:
utok probehl cca v 02:24 rano. Vytahl jsem z logu apache vsechny webhity
mezi 02:20 a 02:29 (pro jistotu) a pomoci lynx --dump jsem je vsechny
zavolal. Doufal jsem ze tim vyvolam odchozi traffic na stejne IP,
bohuzel se nestalo vubec nic :/ (vse bylo GET, krome par radku POST, ty
jsem proveril rucne).
os
On 10/11/2010 11:50 AM, David Hrbáč wrote:
> Dne 11.10.2010 8:47, Ondrej Svoboda napsal(a):
>
>> Jinak nejnavstevovanejsi URL to taky nebude - tenhle utok se spoustel
>> drive tak 1-2x denne, ted uz je to tak 8x. Problem je, ze v te minute
>> kdy utok probehne je v logu webserveru treba 5tis webhitu, takze ani to
>> se nedanijak rozume projit. I kdyz jsem samozrejme zkousel vyhazet
>> obrazky a pod, tak jsem tam ale nic nenasel.
>>
> Vizuálně to nemá smysl. Je to třeba rozparsovat a udělat si nad tím
> nějaké rozumné pohledy. Podle mého názoru jsou logy klíčem k rozluštění.
> Dále bych se zaměřil na to, jak je možné, že to dlouhodobě komunikuje...
> PHP má timeout na dobu běhu scriptu... Takže je otázka, zda v kódu není
> něco jako:
> shell_exec('/usr/bin/php -q mujscript.php&');
> DH
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>
Další informace o konferenci Linux