構成サーバーファイアウォール(CSF)を実行するCentOS Webサーバー。 Web、メール、およびFTPサービス用にリストされているポート80 81 22 21などを除くすべてのアウトバウンド/インバウンドトラフィックをブロックします。
私はハッカーなどから多くのインバウンドブロックを見ることに慣れていますが、以下のアウトバウンドブロックを見て、このトラフィックの原因を見つけてみて、見つけられる場所の提案に感謝します。
9月26日 12:40:28 raelkernel: ファイアウォール: *TCP_OUT ブロック済み* IN= OUT=eth0 SRC=xx.xx.xx.xx DST=54.241.137.2 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID= 54974 DF PROTO=TCP SPT=49907 DPT=31000 WINDOW=14600 RES=0x00 SYN URGP=0 UID=509 GID=509
私のサーバーXXはSRCソースIPで、ターゲットIPはAmazon Web Servicesに属しているようです。
ログにリストされているUID GIDは、WebサイトをホストしているユーザーのGIDですが、Webサイトには明確なコンテンツはありません。 AWSにアクセスしたいスクリプトの種類があると思います。
ベストアンサー1
誰かに役立つ可能性がある場合に備えて、この問題をどのように解決しましたか?
いくつかの情報を読み取って検索した後、次を使用してブロックされたアウトバウンドパケットの送信元を追跡しました。
UIDはファイアウォールログに記載されています。UID=509
awk -v val=509 -F ":" '$3==val{print $1}' /etc/passwd
これにより、ユーザー名が提供され、grepIP が Amazon AWS に属するため、Amazon のユーザーアカウントを作成します。
grep -r amazon /home/username
一部のデータは処理する必要があるため、追加の読み取り用にファイルにパイプされます。
grep -r amazon /home/username >/home/filename
警告するファイルをgrepingしているのと同じディレクトリに保存しないでください。それ以外の場合、ファイルは無限に大きくなります。
これは、AmazonクラウドのブロックされたアウトバウンドポートにユーザーのウェブサイトをバックアップしようとするWordPressプラグインであるupdraftplusであることがわかりました。