Сайт на моем сервере атакован с помощью SQL-инъекций. Я блокирую IP, с которого был атакован командой:
# iptables -A INPUT -s ATTACK-IP-ADDRESS -j DROP
Могу ли я просмотреть активность ATTACK-IP-ADDRESS
сейчас? Я имею в виду, когда и какой HTTP-запрос был с этого IP.
Вы можете использовать -j LOG
вариант для записей, которые вы хотите зарегистрировать.
Так iptables -A INPUT -s ATTACK-IP-ADDRESS -j LOG
в вашем примере
В Ubutntu журналы будут храниться в /var/log/kern.log
Есть много возможностей для входа в iptables, например, добавление префиксов в файл журнала или изменение файла, в который отправляются журналы.
Имейте в виду, что с этого IP-адреса не будет выполняться HTTP-запрос, если вы его заблокируете, и поэтому никакие действия не будут отображаться в журналах вашего веб-сервера / сервера базы данных.
Когда вы блокируете IP-адрес в IPTables, вы не можете отслеживать, какие HTTP-запросы они отправляют.
Их пакеты подтверждения TCP отбрасываются, что означает, что на ваш сервер не отправляется никаких запросов.
Если вы хотите увидеть, какой трафик входит, вам необходимо перенаправить трафик с определенного IP-адреса на специальное программное обеспечение, которое захватывает этот трафик.
Или вы можете настроить в своем веб-приложении так, чтобы все запросы, поступающие с этого IP-адреса, обрабатывались особым образом.
Однако я не вижу особой ценности в таком мониторинге.