Examiner les connexions actives
Les connexions actives peuvent être du trafic normal, des robots (robots d'exploration) ou du trafic potentiellement malveillant (attaque par force brute). Il est important de pouvoir examiner les connexions actives à votre serveur et de déterminer si elles sont légitimes ou malveillantes.
Pourquoi devrais-je examiner les connexions actives?
Des connexions excessives peuvent provoquer:- lenteur du site
- erreurs sur les pages
- les autres tâches sur le serveur sont lentes (comme la messagerie)
Comment vérifier les connexions actives?
VÉRIFIER LES CONNEXIONS ACTIVES PAR IProot @ myserver [~] # netstat -ntu | awk '{imprimer $ 5}' | couper -d: -f1 | trier | uniq -c | tri -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
L'exemple ci-dessus montre une adresse IP avec beaucoup plus de connexions que les autres IP. Cela peut être le signe d'un trafic malveillant.
VÉRIFIER LES CONNEXIONS ACTIVES PAR PORTCet exemple montre un grand nombre de connexions au port 25 (SMTP). Cela peut être le signe d'un problème avec le courrier.
root @ myserver [~] # netstat -tuna | awk -F ': + | + '' NR > 2 {imprimer 5 $} '| couper -d: -f1 | trier | uniq -c | tri -n 1 953 1 993 1 995 3 80 200 25
Une fois que vous avez trouvé les connexions, vous devez déterminer à quoi elles tentent d’accéder.
RECHERCHER LES JOURNAUX D'ACCÈS AUX PAGE FRÉQUEMMENT DEMANDÉESroot @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' | trier | uniq -c | sort -n | moins 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / compte-utilisateur / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /
Les entrées pour «/» seraient la page d'index de chaque site et le trafic normal probable. Les entrées 10 fois plus élevées que les autres pages (par exemple /xmlrpc.php vs guitars.jpg) peuvent indiquer une activité suspecte.
VÉRIFIER LE JOURNAL DES ERREURS APACHE OU PHP- FPMConsulter le journal des erreurs PHP-FPM
Étapes suivantes
Une fois que vous avez les adresses IP malveillantes et à quoi elles essaient d'accéder, vous pouvez les bloquer à l'échelle du serveur (pare-feu) ou par site (.htaccess)- Bloquer les adresses IP malveillantes dans le pare-feu du serveur (pare-feu Windows, iptables, pare-feu).
- Utilisez Plesk ou WHM (cphulk) pour bloquer les adresses IP malveillantes.
- Vous utilisez WordPress? Consultez les attaques WordPress courantes .