LINUX.ORG.RU

Где находятся логи, в которых можно найти ip всех входящих соединений?


0

1

Есть локальный windows 2003 сервер с веб-приложением на .ASP, которое, по всей видимости, поломали.
Локальный сервер смотрит в мир через шлюз на linux через 80 порт.
Время взлома приблизительно известно. Можно ли посмотреть ip всех входящих соединений за тот период времени? Не знаю, где это находится в /var/log/.

Судя по всему, зависит от того, велся ли журнал при пробросе порта 80. Не стоит забывать и про логи IIS.

И да, с такими вопросами, лучше нанять специалиста.

Igron ★★★★★ ()
Ответ на: комментарий от Igron

Эникею в универе. Специалист сюда не придет, да его и не наймут.

Логи IIS смотрел. Там указывается только локальный ip шлюза и порт.
Куда следует смотреть в том случае, если журнал велся?


Anatolik ★★ ()

Там указывается только локальный ip шлюза и порт.

Это как же у вас шлюз настроен? :) Правила iptables покажи.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

>> Там указывается только локальный ip шлюза и порт.

Это как же у вас шлюз настроен?

Известно как — двойной НАТ, чтобы с раутингом не париться

anonymous ()
Ответ на: комментарий от true_admin

Это как же у вас шлюз настроен? :) Правила iptables покажи.

calculate ~ # iptables-save
# Generated by iptables-save v1.4.3.2 on Tue Nov  2 12:31:56 2010
*filter
:INPUT ACCEPT [9108142:6560021110]
:FORWARD ACCEPT [27966047:20467640320]
:OUTPUT ACCEPT [7428006:5894524094]
COMMIT
# Completed on Tue Nov  2 12:31:56 2010
# Generated by iptables-save v1.4.3.2 on Tue Nov  2 12:31:56 2010
*nat
:PREROUTING ACCEPT [19371847:2087330500]
:POSTROUTING ACCEPT [51341:2825604]
:OUTPUT ACCEPT [148270:12236550]
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Tue Nov  2 12:31:56 2010

Известно как — двойной НАТ, чтобы с раутингом не париться

По всей видимости. Что делать-то? (Прошу воздержаться от ответов суициидального характера)

Anatolik ★★ ()

Нигде. Посмотри логи всех сервисов - наверняка тебя перед взломом сканировали, проверяли версии софта и т.п.

P.S. Вендовый вебсервер логи не пишет? О_о

power ()
Ответ на: комментарий от power

зачем их писать IIS если вендо админы не умеют работать с логами(текстовыми файлами).

kam ★★ ()
Ответ на: комментарий от power

Нигде. Посмотри логи всех сервисов - наверняка тебя перед взломом сканировали, проверяли версии софта и т.п.

Кроме IIS, ftp(находящегося на все том же windows server 2003), ssh, сервисов, которые были бы видны извне, нет.

P.S. Вендовый вебсервер логи не пишет? О_о

Пишет, но он говорит, что соединение исходит от шлюза.

Anatolik ★★ ()
Ответ на: комментарий от Anatolik

На фаерволе логов не включено. Если и в userspace никакой conntrackd(что очень вряд ли) не включён то тогда только смотреть логи различных сервисов в /var/logs. Но ты их уже посмотрел.

true_admin ★★★★★ ()

СБУ/ФСБ оно ?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.