Monitorovanie virtual hostov - odchadzajuci traffic

Uvazujme webovy server (Apache, PHP, MySQL), ktory hostuje viacero domen t.j. viacej name virtual hostov.

Da sa nejakym sposobom logovat odchadzajuci traffic z virtual hostov tak, aby v logu bolo vidiet meno virtual hostu?

Dovod: hacknutie PHP kodu, pridanie alebo uprava CRONu....

SNORT vidi len IPcku, z ktorej sa deje nieco podivne, ale ja potrebujem vediet aj nazov virtual hostu (FQDN).

Odpovědi

Hmmm,

je nějaký problém si do LogFormat dodat %v ? Access logy pak budou obsahovat i virtual hosta.

2.9.2012 18:02 maros
Rozbalit Rozbalit vše Re: Monitorovanie virtual hostov - odchadzajuci traffic

Apache Module mod_log_config
Description: Logging of the requests made to the server.

V mojom pripade server iniciuje spojenie smerom von do internetu.

3.9.2012 08:55 David Karban | skóre: 12 | blog: DK
Rozbalit Rozbalit vše Re: Monitorovanie virtual hostov - odchadzajuci traffic

Aha, připadlo mi, že jsem ten dotaz nepochopil :).

Pomocí iptables se dá logovat odchozí spojení, ale jen IP kam to šlo, odkud to šlo a podobně, ne obsah posílaných dat. Dá se taky logovat odeslaná data, např. pomocí tcpdump, vhodně nastavené na IP:port serveru tak, ať chytá jen apache. Ale ani dohromady to nedá tu informaci o vhostu :(, ta varianta s owner a php pro každého uživatele je použitelnější.

Osobně to mívám na serveru nakonfigurované v souladu s minimálními nutnými přístupy - apache (a tím ani php) nemůže jít ven, krom explicitně povolených adres. Ale to je zase boj z druhé strany: "Vám to nefunguje" :(.

Pokud jde o přenosy generované PHP kódem mimo vlastní HTTP spojení, tak by se dalo využít iptables a Owner match / --uid-owner pro vyčítání objemu odchozích dat nebo logování spojení. To za předpokladu, že PHP pro každý virtualhost běží pod vlastním UID (přes fcgi+suexec / mpm-itk / ...).

Dotaz: Monitorovanie virtual hostov - odchadzajuci traffic

Odpovědi