Überprüfen Sie aktive Verbindungen
Aktive Verbindungen können normaler Datenverkehr, Bots (Suchmaschinen-Crawler) oder potenziell bösartiger Datenverkehr (Brute-Force-Angriff) sein. Es ist wichtig, dass Sie aktive Verbindungen mit Ihrem Server überprüfen und feststellen können, ob sie legitim oder bösartig sind.
Warum sollte ich aktive Verbindungen prüfen?
Übermäßige Verbindungen können Folgendes verursachen:- Website-Langsamkeit
- Fehler auf Seiten
- andere Aufgaben auf dem Server sind langsam (wie Mail)
Wie überprüfe ich aktive Verbindungen?
CHECK AKTIVE VERBINDUNGEN NACH IProot @ myserver [~] # netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
Das obige Beispiel zeigt eine IP-Adresse mit vielen Verbindungen als andere IPs. Dies kann ein Zeichen für bösartigen Datenverkehr sein.
ÜBERPRÜFEN SIE AKTIVE VERBINDUNGEN NACH PORTDieses Beispiel zeigt eine große Anzahl von Verbindungen zu Port 25 (SMTP). Dies kann ein Anzeichen für ein Postproblem sein.
root @ myserver [~] # netstat -tuna | awk -F ': + | + '' NR > 2 {print $ 5} '| cut -d: -f1 | sort | uniq -c | sort -n 1 953 1 993 1 995 3 80 200 25
Sobald Sie die Verbindungen gefunden haben, müssen Sie bestimmen, auf was sie zugreifen möchten.
SUCHEN SIE DIE ZUGRIFFSPROTOKOLLE NACH HÄUFIG GESTELLTEN SEITENroot @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' | sort | uniq -c | sort -n | weniger 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /
Einträge für "/" sind die Indexseite jeder Website und wahrscheinlich normaler Traffic. Einträge, die 10x höher sind als andere Seiten (z. B. /xmlrpc.php vs guitars.jpg), können auf verdächtige Aktivitäten hinweisen.
APACHE ODER PHP-FPM-FEHLERPROTOKOLL AUF FEHLER PRÜFEN Überprüfen Sie das Apache -FehlerprotokollÜberprüfen Sie das PHP-FPM-Fehlerprotokoll
Nächste Schritte
Sobald Sie die bösartigen IPs haben und auf was sie zugreifen möchten, können Sie sie serverweit (Firewall) oder pro Website (.htaccess) blockieren.- Blockieren Sie bösartige IPs in der Firewall des Servers (Windows-Firewall, iptables, firewalld).
- Verwenden Sie Plesk oder WHM (cphulk), um bösartige IPs zu blockieren.
- Verwenden Sie WordPress? Sehen Sie sich Common WordPress-Angriffe an .