Sprawdź aktywne połączenia
Aktywne połączenia mogą być normalnym ruchem, botami (robotami wyszukiwarek) lub potencjalnie złośliwym ruchem (atak brute force). Ważne jest, aby mieć możliwość przeglądania aktywnych połączeń z serwerem i określenia, czy są one prawidłowe, czy też złośliwe.
Dlaczego powinienem przejrzeć aktywne połączenia?
Nadmierna liczba połączeń może spowodować:- powolność witryny
- błędy na stronach
- inne zadania na serwerze są powolne (np. poczta)
Jak przejrzeć aktywne połączenia?
SPRAWDŹ AKTYWNE POŁĄCZENIA WEDŁUG IProot@myserver [~]# netstat -ntu | awk '{print $ 5}' | wytnij -d: -f1 | sortuj | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
Powyższy przykład pokazuje jeden adres IP z dużo większą liczbą połączeń niż inne adresy IP. Może to być oznaką złośliwego ruchu.
SPRAWDŹ AKTYWNE POŁĄCZENIA WEDŁUG PORTUTen przykład pokazuje dużą liczbę połączeń z portem 25 (SMTP). Może to oznaczać problem z pocztą.
root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {print $ 5} '| wytnij -d: -f1 | sortuj | uniq -c | sort -n 1953 1 993 1 995 3 80 200 25
Po znalezieniu połączeń musisz określić, do czego próbują uzyskać dostęp.
WYSZUKAJ DZIENNIKI DOSTĘPU DO CZĘSTO ŻĄDANYCH STRONroot@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | sortuj | uniq -c | sort -n | mniej 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /user-account /56 /favicon.ico 65 /website-stuff /89 /results.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /
Wpisy „/” oznaczałyby stronę indeksu każdej witryny i prawdopodobnie normalny ruch. Wpisy, które są 10 razy wyższe niż na innych stronach (np. /Xmlrpc.php vs guitars.jpg) mogą wskazywać na podejrzaną aktywność.
SPRAWDŹ DZIENNIK BŁĘDÓW APACHE LUB PHP-FPM w poszukiwaniu błędów Przejrzyj dziennik błędów ApachePrzejrzyj dziennik błędów PHP-FPM
Następne kroki
Gdy masz już złośliwe adresy IP i to, do czego próbują uzyskać dostęp, możesz zablokować je na całym serwerze (zapora) lub na stronie (.htaccess)- Blokuj złośliwe adresy IP w zaporze serwera (zapora systemu Windows, iptables, firewalld).
- Użyj Plesk lub WHM (cphulk), aby zablokować złośliwe adresy IP.
- Używasz WordPressa? Sprawdź typowe ataki na system WordPress .