Где находятся логи, в которых можно найти ip всех входящих соединений?

0

1

Есть локальный windows 2003 сервер с веб-приложением на .ASP, которое, по всей видимости, поломали.
Локальный сервер смотрит в мир через шлюз на linux через 80 порт.
Время взлома приблизительно известно. Можно ли посмотреть ip всех входящих соединений за тот период времени? Не знаю, где это находится в /var/log/.

Ссылка

←	Iproute2+iptables DNAT

CommuniGate Pro + XMPP

→

Судя по всему, зависит от того, велся ли журнал при пробросе порта 80. Не стоит забывать и про логи IIS.

И да, с такими вопросами, лучше нанять специалиста.

Igron ★★★★★
(02.11.10 14:00:01 MSK)

Ответ на: комментарий от Igron 02.11.10 14:00:01 MSK

Эникею в универе. Специалист сюда не придет, да его и не наймут.

Логи IIS смотрел. Там указывается только локальный ip шлюза и порт.
Куда следует смотреть в том случае, если журнал велся?

Anatolik ★★
(02.11.10 14:14:31 MSK) автор топика

Ссылка

Там указывается только локальный ip шлюза и порт.

Это как же у вас шлюз настроен? :) Правила iptables покажи.

true_admin ★★★★★
(02.11.10 14:35:30 MSK)

Ответ на: комментарий от true_admin 02.11.10 14:35:30 MSK

>> Там указывается только локальный ip шлюза и порт.

Это как же у вас шлюз настроен?

Известно как — двойной НАТ, чтобы с раутингом не париться

anonymous
(02.11.10 14:50:57 MSK)

Ссылка

Ответ на: комментарий от true_admin 02.11.10 14:35:30 MSK

Это как же у вас шлюз настроен? :) Правила iptables покажи.

calculate ~ # iptables-save
# Generated by iptables-save v1.4.3.2 on Tue Nov  2 12:31:56 2010
*filter
:INPUT ACCEPT [9108142:6560021110]
:FORWARD ACCEPT [27966047:20467640320]
:OUTPUT ACCEPT [7428006:5894524094]
COMMIT
# Completed on Tue Nov  2 12:31:56 2010
# Generated by iptables-save v1.4.3.2 on Tue Nov  2 12:31:56 2010
*nat
:PREROUTING ACCEPT [19371847:2087330500]
:POSTROUTING ACCEPT [51341:2825604]
:OUTPUT ACCEPT [148270:12236550]
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Tue Nov  2 12:31:56 2010

Известно как — двойной НАТ, чтобы с раутингом не париться

По всей видимости. Что делать-то? (Прошу воздержаться от ответов суициидального характера)

Anatolik ★★
(02.11.10 15:39:37 MSK) автор топика

Ответ на: комментарий от Anatolik 02.11.10 15:39:37 MSK

Странно что еще Вдоль не советовали =)

MikeDM ★★★★★
(02.11.10 15:57:28 MSK)

Ссылка

Нигде. Посмотри логи всех сервисов - наверняка тебя перед взломом сканировали, проверяли версии софта и т.п.

P.S. Вендовый вебсервер логи не пишет? О_о

~~power~~ ★
(02.11.10 16:01:01 MSK)

Ответ на: комментарий от power 02.11.10 16:01:01 MSK

зачем их писать IIS если вендо админы не умеют работать с логами(текстовыми файлами).

kam ★★
(02.11.10 16:48:28 MSK)

Ссылка

Ответ на: комментарий от power 02.11.10 16:01:01 MSK

Нигде. Посмотри логи всех сервисов - наверняка тебя перед взломом сканировали, проверяли версии софта и т.п.

Кроме IIS, ftp(находящегося на все том же windows server 2003), ssh, сервисов, которые были бы видны извне, нет.

P.S. Вендовый вебсервер логи не пишет? О_о

Пишет, но он говорит, что соединение исходит от шлюза.

Anatolik ★★
(02.11.10 16:48:30 MSK) автор топика

Ссылка

Ответ на: комментарий от Anatolik 02.11.10 15:39:37 MSK

На фаерволе логов не включено. Если и в userspace никакой conntrackd(что очень вряд ли) не включён то тогда только смотреть логи различных сервисов в /var/logs. Но ты их уже посмотрел.

true_admin ★★★★★
(02.11.10 17:11:04 MSK)