Gennemgå aktive forbindelser
Aktive forbindelser kan være normal trafik, bots (søgemaskinecrawlere) eller potentielt skadelig trafik (brute force -angreb). Det er vigtigt at kunne gennemgå aktive forbindelser til din server og afgøre, om de er legitime eller ondsindede.
Hvorfor skal jeg gennemgå aktive forbindelser?
For store forbindelser kan medføre:- site langsomhed
- fejl på sider
- andre opgaver på serveren går langsomt (f.eks. mail)
Hvordan gennemgår jeg aktive forbindelser?
KONTROLLER AKTIVE FORBINDELSER EFTER IProot@myserver [~]# netstat -ntu | awk '{print $ 5}' | klippe -d: -f1 | sorter | uniq -c | sorter -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
Eksemplet ovenfor viser en IP -adresse med mange flere forbindelser end andre IP'er. Dette kan være et tegn på ondsindet trafik.
KONTROLLER AKTIVE FORBINDELSER EFTER PORTDette eksempel viser en stor mængde forbindelser til port 25 (SMTP). Dette kan være et tegn på et problem med mail.
root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {udskriv $ 5} '| klippe -d: -f1 | sorter | uniq -c | sorter -n 1 953 1 993 1 995 3 80 200 25
Når først du har fundet forbindelserne, skal du afgøre, hvad de prøver at få adgang til.
SØG TILGÆNGSLOGGER TILHOVEDSIDEN SÅDAN BEMÆRKES root@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | sorter | uniq -c | sorter -n | mindre 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-include/js/jquery/jquery.js?ver=1.12.4 36 /wp-include/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /brugerkonto /56 /favicon.ico 65 /website-ting /89 /resultater.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /
Indtastninger for "/" vil være indeksiden for hvert site og sandsynligvis normal trafik. Indtastninger, der er 10 gange højere end andre sider (f.eks. /Xmlrpc.php vs guitars.jpg), kan indikere mistænkelig aktivitet.
KONTROLLER APACHE ELLER PHP-FPM FEJLLOG FOR FEJL Gennemgå Apache-fejllogfilenGennemgå PHP-FPM-fejllogfilen
Næste trin
Når først du har de ondsindede IP -adresser, og hvad de prøver at få adgang til, kan du blokere dem serverbredt (firewall) eller pr. Website (.htaccess)- Bloker skadelige IP'er i serverens firewall (Windows Firewall, iptables, firewalld).
- Brug Plesk eller WHM (cphulk) til at blokere skadelige IP -adresser.
- Bruger du WordPress? Tjek Almindelige WordPress -angreb .