Отловить POST и GET запросы от CRM на VPS сервере

[Sergo_Sev]

Имеется CRM закодированная ioncube с привязкой к IP и домену
Установлена на VPS debian
Отправляет post и get запросы на Для просмотра ссылки Войди или Зарегистрируйся
Задача - перехватить все эти запросы на этот домен (чтобы узнать что именно отправляется)
Как это можно реализовать?
Можно ли перенаправить все запросы на локальный домен, чтобы там уже отловить их?

 

[metsys]

tcpdump + Wireshark

 

[UJy]

Задача - перехватить все эти запросы на этот домен (чтобы узнать что именно отправляется)

Ты хочешь отловить исходящий запрос на сервере с CRM, или входящий запрос на сервере домена?

 

[Sergo_Sev]

Ты хочешь отловить исходящий запрос на сервере с CRM, или входящий запрос на сервере домена?

Исходящий запрос от CRM с VPS сервера к стороннему домену (запрос отправляется на домен автора CRM)

 

[UJy]

Тогда да, мониторить трафик сторонними приложениями, как порекомендовал metsys

 

[garphild]

Исходящий запрос от CRM с VPS сервера к стороннему домену (запрос отправляется на домен автора CRM)

Можно если точно известен домен. тогда в хостс прописывается подмена и все запросы будут улетать туда. Скорее всего это проверка лицензии. И при перенаправлении запроса на другой домен без валидного ответа CRM отвалится, если подмененный домен не будет перенаправлять запросы дальше (типа проксировать). Также можно поставить сниффер на впс и отлавливать им.

tcpdump + Wireshark

Примерно вот так как @metsys написал.

 

[someone]

Есть методы и попроще, если это веб сервер, то у него есть логи,
а в логе уже пишутся GET запросы целиком,
но и POST - запросы можно записывать :

В том же nginx надо просто сделать отдельный формат логов, содержащий переменную "$request_body"
и на нужный урл назначить этот лог (или на весь сервер)

    log_format requests  '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" "$http_user_agent" '
                         '"$http_x_forwarded_for" "$http_host" "$request_body";
...
        location ~ ^/script\.php$    {
            root $path;
            access_log   /var/log/nginx/site.com.log   requests;
...

Подробнее в гугле, "nginx log post request", но выше достаточно инфы чтоб сделать

 

[Stesh]

если это веб сервер, то у него есть логи,

У него исходящие в сторону стороннего хоста. Инициатор - закодированный скрипт, а логов к удаленному серверу, разумеется нет. Зато есть iptables, в котором можно завернуть все исходящие на какой-то порт в тот же nginx.

 

[someone]

Как-то я упустил что речь о стороннем внешнем сервере, тогда да, проще отловить tcpdump-ом, при определенном опыте, можно и без вайршарка, в шеле многое увидеть

tcpdump -n -n -X -i eth0 host 1.2.3.4
где вместо eth0 подставьте имя выходного интерфейса, если это вдс и интерфейс один, "-i eth0" можно не писать
а вместо 1.2.3.4 подставьте ип адрес целевого домена Для просмотра ссылки Войди или Зарегистрируйся

но сначала надо установть пакет tcpdump :
yum install tcpdump
или
apt install tcpdump

Что же касается вайршарка, то в гугле много примеров, но кратко суть - тспдампом делаете перехват пакетов,
желательно отфильтровав как выше по нужному ип адресу,
а вайршарком изучаете результат со всеми визуальными возможностями вайршарка.

PS: хотя можно и завернуть целевой домен Для просмотра ссылки Войди или Зарегистрируйся на локальный отдельный серый ип, с помошью настройки локального днс сервера (и порядка резолвинга, чтоб было через него , с помощью dnsmasq / named - не важно) и локально на этом ип поставить nginx в режиме проксирования нужного домена на его реальный ип,
и дальше можно логировать, а то и даже модифицировать запросы-ответы.

Это я к тому что если там проверка лицензии на уровне ожидания ответа вроде "ок" то сделать эмулятор "правильных" ответов удаленного сервера проверки лицензий - несложно.

 

[Alligat0r]

Вся проблема в том, что трафик SSL, вайшарк не поможет. Лучший вариант для подобного отлова это Squid3 с SSLBump. Вы должны однозначно подменить сертификат. И трафик соответственно с сервера на 443 порт Вы заворачиваете на порт squid.
Я сегодня на форуме первый день и еще не знаю, можно ли мне указать линк на мануал по этой настройке со стороннего ресурса, но в качестве альтернативы Вы можете забить в поисковик "squid подмена сертификата"
Именно по такой технологии в современных офисных центрах отлавливают https трафик сотрудников, чтобы иметь понимание, кто чем занимается в интернете, точно так же Вы можете реализовать это внутри 1 сервера для исходящего трафика.

​