Я заметил МНОГО из следующего:
Firewall: *TCP_OUT Blocked* IN= OUT=eth0 SRC=ME DST=OUT LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=44395 DF PROTO=TCP SPT=55901 DPT=10080 WINDOW=14600 RES=0x00 SYN URGP=0
Как я могу определить, какой сайт отправляет такую атаку?
PHP работает как fast_cgid с CloudLinux.
Если, как ваш журнал кажется чтобы указать, что пакет исходит из вашей системы, вам нужно выяснить не «какой веб-сайт отправляет такую атаку», а то, что (или кто) в вашей системе генерирует трафик.
Теперь, когда это решено, TCP-порт 10080 чаще всего используется системой резервного копирования Amanda. Если вы настроили Amanda для резервного копирования вашего сервера на удаленный хост, то это может быть причиной трафика (а если он заблокирован, ваши резервные копии не работают!).
(Некоторые игры для ПК также используют TCP-порт 10080, но я предполагаю, что вы не играете в компьютерные игры на этом компьютере с Linux ...)
Чтобы узнать, кто инициировал соединение, измените каждое из правил ведения журнала брандмауэра, добавив --log-uid. ИД пользователя, который инициировал соединение, будет зарегистрирован как UID=###. Пример:
iptables ..... -j LOG --log-uid ...