Localizar IP de pc que se conecta a mi máquina y copia unos archivos .csv

Archivado
Hola, os cuento, estoy en un trabajo nuevo, y en uno de servidores (B) a las 12:07 se 'aparecen' unos archivos .csv que posteriormente se importan a un servidor mysql.

La cuestión es que hay que modificar el contenido de esos archivos... por lo que tenemos que identificar desde qué máquina (A) se conecta a nuestra (B) y copia los archivos, para así modificar el "script" que captura datos, genera el .csv y los copia en esta máquina B....

Descarto que se hagan desde la propia máquina B, ya que reviso el crontab y no veo ningún script que genere esos archivos....

¿¿cómo puedo localizar esa máquina (A) que genera esos archivos y los copia en (B)??

Gracias.
¿protoclo de copia? (scp,ftp,samba,nfs...)

Conociendo eso con un netstat y filtrando la salida igual puedes scriptar la solución.
imagino que con Wireshark podrías ver todo el trafico a la máquina o con inotify controlar el acceso al archivo.
d_d_d escribió:¿protoclo de copia? (scp,ftp,samba,nfs...)

Conociendo eso con un netstat y filtrando la salida igual puedes scriptar la solución.


La máquina tiene los servicios SSH, HTTP, HTTPS, mysql.

Estaré pendiente con el netstat desde las 12:00 hasta las 12:10 .... a ver que pasa...

Otra cosa que se me ocurre que pudiera estar pasando es que sea esta máquina la que acceda a la otra y se traiga los archivos....

Y en relación a los .logs ¿qué me decís? podría ver esas conexiones en algún .log

Hablamos de un Ubuntu server.
Dices que se realiza de [12:00-12:10] con tener Wireshark alerta en ese intervalo de tiempo no deberías tener problema. (Si puedes filtrar protocolos etc mejor, así sólo tienes la información que realmente te interesa).

No sería raro que realice una consulta contra un servidor y genere los CSV al vuelo dejándolos en el servidor (B). Pero cómo dices, vital saber de dónde saca esos datos; ya que el día que el servidor (A) no este funcionando correctamente te quedas sin CSVs válidos ;)
Vaya, resulta que es a las 12 del día... y no de la noche... y yo aquí preparádome.

El tema del wireshark no tengo claro si en entorno de consola es ejecutable, (no hay entorno gráfico).

En principio pondré un netstat -c | grep "ESTABLISHED" > netstat.log

Lo pondré a las 11:50 y lo cortaré en el momento que vea "aparecer" los archivos .csv.

He pensado que la maquina podría estar conectándose a "donde sea" y trayéndose los ficheros... estuve revisando las tareas del crontab y no veo nada por estilo... me da que los archivos se generan "no sé donde" y se vuelcan a está máquina via ssh copy (la maquina tampoco tiene servicio de ftp corriendo).
Wordio escribió:El tema del wireshark no tengo claro si en entorno de consola es ejecutable, (no hay entorno gráfico).

Para entornos de consola tienes herramientas útiles:

tshark

tcpdump

httpry

p0f

ngrep
Wordio escribió:Vaya, resulta que es a las 12 del día... y no de la noche... y yo aquí preparádome.

El tema del wireshark no tengo claro si en entorno de consola es ejecutable, (no hay entorno gráfico).

En principio pondré un netstat -c | grep "ESTABLISHED" > netstat.log

Lo pondré a las 11:50 y lo cortaré en el momento que vea "aparecer" los archivos .csv.

He pensado que la maquina podría estar conectándose a "donde sea" y trayéndose los ficheros... estuve revisando las tareas del crontab y no veo nada por estilo... me da que los archivos se generan "no sé donde" y se vuelcan a está máquina via ssh copy (la maquina tampoco tiene servicio de ftp corriendo).


Pues si en el cron no has visto nada, será un servicio casi seguro. Si ya sabes que es por ssh filtra también por el puerto 22 TCP si es que tienes ssh levantado en ese puerto claro. Tendrás un log más limpio.
cuando descubras la solucion documentalo para el siguiente
Lo cace con un netstat -c filtrado con ESTABLISHED y direccionando la salida a texto , para tener un log en intervalo de tiempo dónde se producia la subida del archivo.
9 respuestas
Archivado
Volver a Software libre