GoDaddy Pomoc

Dołożyliśmy wszelkich starań, aby przetłumaczyć tę stronę. Dostępna jest również strona w języku angielskim.

Sprawdź aktywne połączenia

Aktywne połączenia mogą być normalnym ruchem, botami (robotami wyszukiwarek) lub potencjalnie złośliwym ruchem (atak brute force). Ważne jest, aby mieć możliwość przeglądania aktywnych połączeń z serwerem i określenia, czy są one prawidłowe, czy też złośliwe.

Dlaczego powinienem przejrzeć aktywne połączenia?

Nadmierna liczba połączeń może spowodować:
  • powolność witryny
  • błędy na stronach
  • inne zadania na serwerze są powolne (np. poczta)

Jak przejrzeć aktywne połączenia?

SPRAWDŹ AKTYWNE POŁĄCZENIA WEDŁUG IP
root@myserver [~]# netstat -ntu | awk '{print $ 5}' | wytnij -d: -f1 | sortuj | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

Powyższy przykład pokazuje jeden adres IP z dużo większą liczbą połączeń niż inne adresy IP. Może to być oznaką złośliwego ruchu.

SPRAWDŹ AKTYWNE POŁĄCZENIA WEDŁUG PORTU

Ten przykład pokazuje dużą liczbę połączeń z portem 25 (SMTP). Może to oznaczać problem z pocztą.

root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {print $ 5} '| wytnij -d: -f1 | sortuj | uniq -c | sort -n 1953 1 993 1 995 3 80 200 25

Po znalezieniu połączeń musisz określić, do czego próbują uzyskać dostęp.

WYSZUKAJ DZIENNIKI DOSTĘPU DO CZĘSTO ŻĄDANYCH STRON
root@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | sortuj | uniq -c | sort -n | mniej 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /user-account /56 /favicon.ico 65 /website-stuff /89 /results.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /

Wpisy „/” oznaczałyby stronę indeksu każdej witryny i prawdopodobnie normalny ruch. Wpisy, które są 10 razy wyższe niż na innych stronach (np. /Xmlrpc.php vs guitars.jpg) mogą wskazywać na podejrzaną aktywność.

SPRAWDŹ DZIENNIK BŁĘDÓW APACHE LUB PHP-FPM w poszukiwaniu błędów Przejrzyj dziennik błędów Apache
Przejrzyj dziennik błędów PHP-FPM

Następne kroki

Gdy masz już złośliwe adresy IP i to, do czego próbują uzyskać dostęp, możesz zablokować je na całym serwerze (zapora) lub na stronie (.htaccess)
  • Blokuj złośliwe adresy IP w zaporze serwera (zapora systemu Windows, iptables, firewalld).
  • Użyj Plesk lub WHM (cphulk), aby zablokować złośliwe adresy IP.
  • Używasz WordPressa? Sprawdź typowe ataki na system WordPress .