Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Rekomendowane odpowiedzi

Opublikowano

Witajcie,

Jak widzę WHT już jest "pase" więc zapytam również tutaj ;)

 

Czy są gdzieś w logach serwerowych zapisane informacje dotyczące portu w przypadku użytkowników ze zmiennym IP takich jak Neostrada z Orange?

 

Na wniosek prokuratury poproszono mnie o udostępnienie adresów IP pewnego użytkownika forum, jednak dostałem również zapytanie czy posiadam numery portów, z których w danym momencie korzystał ten użytkownik więc domyslam się że takie dane znajdę gdzieś w logach serweram, tylko pytanie gdzie ;)

 

Serwer apache 2.4, debian, directadmin 

 

 

Z góry dziękuje za pomoc. 

Opublikowano (edytowane)

Czołem,

 

Jeśli użytkownik korzystał tylko z forum to do serwera łączył się jedynie do portów (docelowych), które ustawione są w konfiguracji Apache - http:80 oraz https:443.

Apache nie loguje (domyślnie) w logu access (dostępowym) informacji o porcie źródłowym, podgląd dokładny zazwyczaj masz tylko ondemand przez narzędzia jak netstat, ifop, iptraf etc. 

 

 

Edytowane przez SomeGuy
  • Super! 1
Opublikowano
18 minut temu, Mich@ł napisał:

czy posiadam numery portów, z których w danym momencie korzystał ten użytkownik

Tak posiadasz numery portów, a są to numery portów usług z jakimi się łączył "ten użytkownik", które powinieneś znać. A to, że ma zmienne IP nie ma znaczenia, bo w tym wypadku jest klientem a nie usługą. To usługa nasłuchuje na porcie z którym to łączy się klient.

Opublikowano

SomeGuy, dzięki za szybką odpowiedź. Właśnie tak się domyślałem, że są to tylko numery portów httpd.

 

Mion, mój rozmówca zasugerował mi coś takiego ;) Dlatego też zacząłem szukać czy przypadkiem nie są gdzieś jakieś numery portów zapisywane w logach.

Cytat z korespondencji email:

Cytuj

W uzupełnieniu ww. danych bardzo proszę o informację czy posiadają Państwo numery portów, jakie były przypisane danemu użytkownikowi przy ww. połączeniach (w tym przypadku ISP jest Orange Polska SA, który może przydzielać różnym użytkownikom ten sam IP, ale różne porty).

 

Opublikowano (edytowane)

Ale klient łączy się  z usługą przy użyciu portu na jakim dana usługa nasłuchuje i TY (twoja usługa)  jako serwer żadnych innych informacji poza IP klienta nie uzyskasz. 
W wypadku Neostrada < użytkownik>, to Neostrada wystawia jakiś port z którym się klient łączy, a klientem w tym wypadku jest modem usera.

Edytowane przez Mion
  • Zaskoczony 1
Opublikowano
6 minut temu, Mion napisał:

Ale klient łączy się  z usługą przy użyciu portu na jakim dana usługa nasłuchuje i TY (twoja usługa)  jako serwer żadnych innych informacji poza IP klienta nie uzyskasz. 

Odpal sobie na jakimś serwerze gdzie masz http

netstat -an

 

  • Super! 1
Opublikowano (edytowane)
8 minut temu, mrViperoo napisał:

Odpal sobie na jakimś serwerze gdzie masz http

tcp        0      0 125.239.85.104:443      87.253.72.62:60114      ESTABLISHED
tcp        0      0 125.239.85.104:8083     87.253.72.62:60060      TIME_WAIT

Powiedzmy to jest moje IP
87.253.72.62:60114
87.253.72.62:60060

I sa faktycznie numery portów... zapytam ja co to są za numery ?

 

Edytowane przez Mion
Opublikowano (edytowane)

@Mion otwierając stronę po https łączysz się przez port 60060 do portu 443 danego serwera.  Nie łączysz się przez ten sam port, na których nasłuchuje serwer apache :)

 

@Mich@ł apache ma możliwość logowania portów źródłowych, ale nie spotkałem się z taką konfiguracją u żadnego providera usług hostingowych, domyślnie też nie jest to logowane.

 

tl;dr - > Przekaż im co możesz, napisz, że numery portów nie są logowane (takie logi posiada operator telekomunikacyjny jeśli dobrze pamiętam), dodatkowo możesz też sprawdzić historię logowań na konto forumowe tego użytkownika. 

 

Edytowane przez SomeGuy
Opublikowano
-n – służy do wyświetlania aktywnych połączeń protokołu TCP. Adresy i numery portów są wyrażane numerycznie i nie zostaną zmienione na nazwy.

czyli rozumień, że " 60060 " to jest numer portu na moim komputerze  - TAK ?

Opublikowano

opcja n skonwertuje nazwę usługi na numer portu np:

 

z -n: 

tcp        0      0 125.239.85.104:443      87.253.72.62:60114      ESTABLISHED

bez:

 

tcp        0      0 125.239.85.104:https      87.253.72.62:60114      ESTABLISHED
Opublikowano

Ale o ile dobrze rozumiem, nie można numerów portów na komputerze użytkownika rozważać w kontekście pytania:

Cytuj

@W uzupełnieniu ww. danych bardzo proszę o informację czy posiadają Państwo numery portów, jakie były przypisane danemu użytkownikowi przy ww. połączeniach (w tym przypadku ISP jest Orange Polska SA, który może przydzielać różnym użytkownikom ten sam IP, ale różne porty@


Bo to nie ISP  przydzieliło przedmiotowe porty - zgadza się ?

Opublikowano
3 minuty temu, Mion napisał:

Ale o ile dobrze rozumiem, nie można numerów portów na komputerze użytkownika rozważać w kontekście pytania:


Bo to nie ISP  przydzieliło przedmiotowe porty - zgadza się ?

 

Zmienne IP nie oznacza adresu IP współdzielonego. 

Numery portów wychodzących są losowe. Nie wiem w ogóle po co im takie randomowe informacje. 

 

Jeśli dane te są logowane to czemu nie, nie ma jednak obowiązku, aby takie dane logować, podobne pismo dostanie ISP (Orange). 

Pisma tego typu zawierają czasem prośbę o udostępnienie informacji na temat przeglądarki, adresu e-mail, pod którym nastąpiła rejestracja na forum na XX mscy wcześniej. 

Czasem zdarzy się odprawić prokuraturę z kwitkiem, gdyż żadnych logów już dawno nie będzie. 

Opublikowano (edytowane)
15 minut temu, SomeGuy napisał:

opcja n skonwertuje nazwę usługi na numer portu np:

OTHmmm u mnie to nie działa :( -
 

root@vps455875:~# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN
tcp        0      0 145.239.88.107:53       0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN

 

Edytowane przez Mion
Opublikowano
Godzinę temu, Mich@ł napisał:

SomeGuy, dzięki za szybką odpowiedź. Właśnie tak się domyślałem, że są to tylko numery portów httpd.

 

Mion, mój rozmówca zasugerował mi coś takiego ;) Dlatego też zacząłem szukać czy przypadkiem nie są gdzieś jakieś numery portów zapisywane w logach.

Cytat z korespondencji email:

 

 

Musisz odpisać, że nie logujecie tych danych i się odczepią. Też często nas pytają o numery portów źródłowych z których były połączenia z naszym serwerem - ale my tego nie logujemy, nie musimy, więc nie mamy tych danych. Oni by najlepiej chcieli, żeby każdy hostingodawca logował cały ruch sieciowy 5 lat wstecz... eh ;)

Opublikowano

Prokuratura pyta czasami o nadmiar informacji, a czasami sama nie wie co chce uzyskać - dlatego spokojnie napisz, że nie logujesz wszystkiego (jak to wyżej sugerowano), bo nie masz takiego obowiązku...

 

...kiedyś pracowałem dla biegłego sądowego realizując jego prace... przyszła policja przynosząc dyski z monitoringu, jakość nagrań koszmarna... sprawce uchwycono w kapturze, obszar 60x60 pikseli (nic nie widać, nic się już z tym zrobić nie dało - jedna wielka plama pikseli i tyle)... a oni na to, by   uzyskać ostry obraz twarzy (tak by idealnie była ją widać), najlepiej z innego kąta, bo kaptur trochę przeszkadza -  ja wielkie oczy... a  oni, że przecież widzieli w amerykańskiej telewizji, że informatycy takie rzeczy od ręki robią...

 

 

 

 

Opublikowano

SomeGuy, Adam, zrobię tak jak radzicie bo i tak zapewne tych logów nie mam. Podałem jedynie adresy IP, które "zalogowało" forum przy logowaniu i pisaniu postów.  

 

Cytuj

Oni by najlepiej chcieli, żeby każdy hostingodawca logował cały ruch sieciowy 5 lat wstecz... eh ;)

Miałem już kiedyś przypadek, że chcieli adresy IP 1,5 roku wstecz jednak akurat z pół roku wcześniej zmieniłem serwer i logi przepadły ;)

Opublikowano (edytowane)

Podepnę się do tematu z pytaniem, a mianowicie Jak to wygląda od strony oficjalni prawnej... czyli przykładowo JA <jako firma jednoosobowa pewnie nie ma znaczenia> postawiłem jakiś serwis  www na VPS'ie dajmy na to typu ogłoszeniowego i działał powiedzmy 5 miesięcy ... i po tym czasie mi się znudziło, więc serwis zamknąłem.

Teraz pytania:


- Czy ja muszę przechowywać w sensie archiwizacji logi HTTP ?
- Jeśli tak, to czy ustawodawca określa ile czasu muszą te logi być  przechowywane do wglądu organów ?

Edytowane przez Mion
Opublikowano

Logi musi przechowywać jedynie ISP telekomunikacyjny, jako operator czy też dostawca usług hostingowych nie jesteś zobligowany do utrzymywania takich logów. Nie skończyłem jednak prawa, a powtarzam informację, którą sam kiedyś na ten temat otrzymałem. 

Opublikowano (edytowane)

Czyli jako NIE firma hostingowa,  a jedynie dłubacz w VPS ISPConfig ;) po postawieniu serwisu www ustawowo takiego obowiązku nie mam  ... ufff.

 

Ale jak już jesteśmy przy temacie logów, to zakładam, że w np apache jest mechanizm, który "starsze" niż n czasu logi kasuje - TAK ?
Lub jak to technicznie wygląda  w konfiguracji się ułatwia ?

Edytowane przez Mion
Opublikowano (edytowane)

Nawet jako firma hostingowa nie masz nakazu do utrzymywanie logów, ustawa nawiązuje do Prawa Telekomunikacyjnego (głównie tpsa, netia, orange, tmobile itp).

 

Apache zapisuje logi do pliku, który wskazany jest w konfiguracji, może być kilka plików np. jeśli skonfigurowałeś serwer w taki sposób, aby logowanie dla każdej domen było oddzielnie.

Log będzie rósł i rósł, chyba, że skonfigurowałeś np. "logrotate", który pakuje co jakiś Twoje logi i dodaje datę, a stare usuwa. 

 

edit:

@nrm mnie ubiegł, a dodam jeszcze, że logi głównie trzymane są dla nas samych, statystyk itp.

Edytowane przez SomeGuy

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.