Linux tabanlı işletim sistemlerimizde eğer iptables yüklü ise web server için saldırı tespiti oldukça kolaydır. Sunucunuzda loadların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutlar işinize yarayacaktır.
Bu makalede yer alan linux saldırı tespiti komutlarını tüm VPS paketlerinde kullanabilirsiniz.
Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayılarına göre küçükten büyüğe tespit ediyoruz ;
1 |
netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n |
eğer SYN bağlantı tespit etmek istiyorsanız ;
1 |
netstat -ntu grep :80 | grep SYN | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n |
ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini belirtir. Siz burada ilk sütunu 100 den büyük olan ip adresleri görür iseniz şüphelenin.
Aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;
1 |
iptables -A INPUT -s banlanacakipadresi -j DROP |