GoDaddy Hilfe

Wir haben die Seite für Sie so gut wie möglich übersetzt. Sie können sie sich aber auch auf Englisch ansehen.

Überprüfen Sie aktive Verbindungen

Aktive Verbindungen können normaler Datenverkehr, Bots (Suchmaschinen-Crawler) oder potenziell bösartiger Datenverkehr (Brute-Force-Angriff) sein. Es ist wichtig, dass Sie aktive Verbindungen mit Ihrem Server überprüfen und feststellen können, ob sie legitim oder bösartig sind.

Warum sollte ich aktive Verbindungen prüfen?

Übermäßige Verbindungen können Folgendes verursachen:
  • Website-Langsamkeit
  • Fehler auf Seiten
  • andere Aufgaben auf dem Server sind langsam (wie Mail)

Wie überprüfe ich aktive Verbindungen?

CHECK AKTIVE VERBINDUNGEN NACH IP
root @ myserver [~] # netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

Das obige Beispiel zeigt eine IP-Adresse mit vielen Verbindungen als andere IPs. Dies kann ein Zeichen für bösartigen Datenverkehr sein.

ÜBERPRÜFEN SIE AKTIVE VERBINDUNGEN NACH PORT

Dieses Beispiel zeigt eine große Anzahl von Verbindungen zu Port 25 (SMTP). Dies kann ein Anzeichen für ein Postproblem sein.

root @ myserver [~] # netstat -tuna | awk -F ': + | + '' NR > 2 {print $ 5} '| cut -d: -f1 | sort | uniq -c | sort -n 1 953 1 993 1 995 3 80 200 25

Sobald Sie die Verbindungen gefunden haben, müssen Sie bestimmen, auf was sie zugreifen möchten.

SUCHEN SIE DIE ZUGRIFFSPROTOKOLLE NACH HÄUFIG GESTELLTEN SEITEN
root @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' | sort | uniq -c | sort -n | weniger 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /

Einträge für "/" sind die Indexseite jeder Website und wahrscheinlich normaler Traffic. Einträge, die 10x höher sind als andere Seiten (z. B. /xmlrpc.php vs guitars.jpg), können auf verdächtige Aktivitäten hinweisen.

APACHE ODER PHP-FPM-FEHLERPROTOKOLL AUF FEHLER PRÜFEN Überprüfen Sie das Apache -Fehlerprotokoll
Überprüfen Sie das PHP-FPM-Fehlerprotokoll

Nächste Schritte

Sobald Sie die bösartigen IPs haben und auf was sie zugreifen möchten, können Sie sie serverweit (Firewall) oder pro Website (.htaccess) blockieren.
  • Blockieren Sie bösartige IPs in der Firewall des Servers (Windows-Firewall, iptables, firewalld).
  • Verwenden Sie Plesk oder WHM (cphulk), um bösartige IPs zu blockieren.
  • Verwenden Sie WordPress? Sehen Sie sich Common WordPress-Angriffe an .