Анализ исходящего трафика

1

1

Есть сервер на Centos, isp panel, хостятся сайты, все как обычно.

Бывают случаи когда боты эксплуатируют уязвимости и устанавливают backdoor`ы

В последний раз скрипт брутил сторонние серверы, пришлось заблокировать исходящий в iptables по пользователю.

Отсюда вопрос, чем воспользоваться для анализа исходящего трафика?

Пока мыслю в сторону iptables log, и блокировать если много исходящих (сигнатуру проработать можно), или есть готовые решения?

Ссылка

←	ansible завершение с ошибкой

Как посмотреть и как ограничить всплески

→

или есть готовые решения?

«ESTABLISHED» и закрыть всё кроме белого списка?

vvn_black ★★★★★
(07.05.20 13:02:27 MSK)

Ответ на: комментарий от vvn_black 07.05.20 13:02:27 MSK

«ESTABLISHED» и закрыть всё кроме белого списка?

Думаю скрипт набросать, разбор лога iptables, с блокировкой (до разбора полетов) исходящего трафика пользователя

commetaR37
(07.05.20 13:16:09 MSK) автор топика
Последнее исправление: commetaR37 07.05.20 13:19:07 MSK (всего исправлений: 1)

Ссылка

Самое простое — создайте правила iptables на количество соединений, при превышении которого будет добавлена запись в лог или отправлено какое-то уведомление вам.

ValdikSS ★★★★★
(07.05.20 15:09:03 MSK)

Ответ на: комментарий от ValdikSS 07.05.20 15:09:03 MSK

правила iptables на количество соединений, при превышении которого

Да пожалуй, добавлю разрешающие правила, по пользователям и по портам, и по крону проверять счетчики, с отправкой в телеграм, вот и обертка как раз: https://github.com/ldx/python-iptables

commetaR37
(07.05.20 16:11:44 MSK) автор топика