سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگهای مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر
نمایش نسخه قابل چاپ
سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگهای مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر
var/log/messges
/var/log/syslog
Possible SYN flooding on port 80
در واقع شما برای حل این مشکل اول باید ای پی هایی که این حملات رو به شما میدن شناسایی کنین در لحظه. اون مواردی که در فایل لاگ ذخیره شدن، حملاتی هستن که انجام شده تموم شده رفته. اما برای اینکه در لحظه بتونین مشاهده کنین، باید فکر چاره ای کنین که در همون لحظه متوجه بشید و در همون لحظه اون ای پی رو مسدودش کنین.
من خودم برای اینکه کانکشن ها رو جوری ***** کنم که فقط SYN هارو بهم نشون بده از دستور زیر استفاده میکنم:
حالا با توجه به خروجی هایی که میگیرین، اونهایی که بالاتر از 3000 هستن، میتونن درخواست هایی باشن که از سمت سروری اومدن که یکنفر برای اتک به سرور شما اون رو تنظیم کرده.کد PHP:
netstat -n | grep :80 | grep SYN |wc -l
این راهکاری هستش که من استفاده میکنم و خواستم به شما بگم شاید کمکتون کنه برای بعدا چون این تاپیک برای خیلی وقت پیشه و یا اینکه شاید یکی همچین مشکلی داره و بتونه ازین مطلب استفاده کنه.
راهکارای دیگه هستش برای بررسی در لحظه اینها مثل مانیتورینگ و چیزهای دیگه که پیشنهاد این راهکارا برای زمانی که زیر اتک هستین خیلی خنده دار و مسخره ست. چون زمانی که سرورتون زیر اتک هستش در واقع شما تو یه موقعیت اضطراری هستین که دیگه بخایین مانیتورینگ نصب کنین و این داستانا خیلی ناشیانه ست. برای همین این چنین کامندهایی رو همیشه به ذهنتون بسپرین، مطمعنا یک روزی به دردتون میخوره.
اصلا messges وجود نداره و در syslog هم نمیدونم دنبال چی باشم
- - - Updated - - -
شما کلا متوجه نشدید
از آیپیهای من به سایر سرورها اتک زده میشه
- - - Updated - - -
با این دستور مثلا میشه با توجه به ابیوز دیتاسنتر که مثلا خودش میگه از فلان پورتها اتک زده شده به جای 80 اینا رو بزنم اونوقت میاره؟