LINUX.ORG.RU
ФорумAdmin

Анализ исходящего трафика

 , ,


1

2

Есть сервер на Centos, isp panel, хостятся сайты, все как обычно.

Бывают случаи когда боты эксплуатируют уязвимости и устанавливают backdoor`ы

В последний раз скрипт брутил сторонние серверы, пришлось заблокировать исходящий в iptables по пользователю.

Отсюда вопрос, чем воспользоваться для анализа исходящего трафика?

Пока мыслю в сторону iptables log, и блокировать если много исходящих (сигнатуру проработать можно), или есть готовые решения?

Ответ на: комментарий от vvn_black

«ESTABLISHED» и закрыть всё кроме белого списка?

Думаю скрипт набросать, разбор лога iptables, с блокировкой (до разбора полетов) исходящего трафика пользователя

commetaR37 ()
Последнее исправление: commetaR37 (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

правила iptables на количество соединений, при превышении которого

Да пожалуй, добавлю разрешающие правила, по пользователям и по портам, и по крону проверять счетчики, с отправкой в телеграм, вот и обертка как раз: https://github.com/ldx/python-iptables

commetaR37 ()