Обнаружение исходящих атак

Для обнаружения исходящих атак с сервера можно использовать следующую команду:

iptables -I OUTPUT -p tcp -m tcp -m string --string "wp-login.php" --algo kmp --dport 80 -j LOG --log-prefix "Outgoing attack: " --log-level 4 --log-uid

С помощью этой команды, в /var/message пишутся все исходящие на 80 порт tcp соединения, в которых встречается вхождение «wp-login.php». Если такое обращение будет зафиксировано, в лог упадёт запись вида:

Apr 26 11:56:56 whm4 kernel: Outgoing attack: IN= OUT=eth0 SRC=82.202.172.4 DST=176.126.200.9 LEN=443 TOS=0x00 PREC=0x00 TTL=64 ID=14191 DF PROTO=TCP SPT=38174 DPT=80 WINDOW=229 RES=0x00 ACK PSH URGP=0 UID=5850 GID=5805

GID = UID пользователя в системе.

Обнаружение исходящих атак
Была ли эта статья полезна?
нет 0