Applies to: VPS Gen 4 e server dedicati, VPS Gen 3 e server dedicati

GoDaddy Aiuto

Abbiamo cercato di tradurti questa pagina. È disponibile anche la versione in inglese.

Verifica le connessioni attive

Le connessioni attive possono essere traffico normale, bot (crawler dei motori di ricerca) o traffico potenzialmente dannoso (attacco di forza bruta). È importante poter rivedere le connessioni attive al server e determinare se sono legittime o dannose.

Perché dovrei rivedere le connessioni attive?

Connessioni eccessive possono causare:
  • lentezza del sito
  • errori nelle pagine
  • altre attività sul server sono lente (come la posta)

Come posso rivedere le connessioni attive?

VERIFICARE LE CONNESSIONI ATTIVE TRAMITE IP
root@myserver [~]# netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | ordina | uniq -c | ordina -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

L'esempio sopra mostra un indirizzo IP con molte più connessioni rispetto ad altri IP. Questo potrebbe essere un segno di traffico dannoso.

VERIFICARE LE CONNESSIONI ATTIVE PER PORTO

Questo esempio mostra una grande quantità di connessioni alla porta 25 (SMTP). Questo potrebbe essere un segno di un problema con la posta.

root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {print $ 5} '| cut -d: -f1 | ordina | uniq -c | ordina -n 1953 1993 1995 3 80200 25

Una volta trovate le connessioni, devi determinare a cosa stanno tentando di accedere.

RICERCA NEI LOG DI ACCESSO PER LA PAGINA PIU 'RICHIESTA 
root@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | ordina | uniq -c | ordina -n | less 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /account-utente /56 /favicon.ico 65 /website-stuff /89 /results.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /

Le voci per "/" corrispondono alla pagina dell'indice di ciascun sito e probabilmente al traffico normale. Le voci 10 volte più alte di altre pagine (ad es. /Xmlrpc.php rispetto a guitars.jpg) possono indicare attività sospette.

CONTROLLARE GLI ERRORI NEL LOG APACHE O PHP-FPM Rivedere il log degli errori di Apache
Rivedi il registro degli errori PHP-FPM

Passaggi successivi

Una volta individuati gli IP dannosi e a cosa stanno tentando di accedere, puoi bloccarli a livello di server (firewall) o per sito (.htaccess)
  • Blocca gli IP dannosi nel firewall del server (Windows Firewall, iptables, firewalld).
  • Usa Plesk o WHM (cphulk) per bloccare gli IP dannosi.
  • Usi WordPress? Dai un'occhiata agli attacchi comuni di WordPress .