سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگ‌های مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر

var/log/messges
/var/log/syslog

Possible SYN flooding on port 80

سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگ‌های مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر

در واقع شما برای حل این مشکل اول باید ای پی هایی که این حملات رو به شما میدن شناسایی کنین در لحظه. اون مواردی که در فایل لاگ ذخیره شدن، حملاتی هستن که انجام شده تموم شده رفته. اما برای اینکه در لحظه بتونین مشاهده کنین، باید فکر چاره ای کنین که در همون لحظه متوجه بشید و در همون لحظه اون ای پی رو مسدودش کنین.
من خودم برای اینکه کانکشن ها رو جوری ***** کنم که فقط SYN هارو بهم نشون بده از دستور زیر استفاده میکنم:


netstat -n | grep :80 | grep SYN |wc -l


حالا با توجه به خروجی هایی که میگیرین، اونهایی که بالاتر از 3000 هستن، میتونن درخواست هایی باشن که از سمت سروری اومدن که یکنفر برای اتک به سرور شما اون رو تنظیم کرده.

این راهکاری هستش که من استفاده میکنم و خواستم به شما بگم شاید کمکتون کنه برای بعدا چون این تاپیک برای خیلی وقت پیشه و یا اینکه شاید یکی همچین مشکلی داره و بتونه ازین مطلب استفاده کنه.

راهکارای دیگه هستش برای بررسی در لحظه اینها مثل مانیتورینگ و چیزهای دیگه که پیشنهاد این راهکارا برای زمانی که زیر اتک هستین خیلی خنده دار و مسخره ست. چون زمانی که سرورتون زیر اتک هستش در واقع شما تو یه موقعیت اضطراری هستین که دیگه بخایین مانیتورینگ نصب کنین و این داستانا خیلی ناشیانه ست. برای همین این چنین کامندهایی رو همیشه به ذهنتون بسپرین، مطمعنا یک روزی به دردتون میخوره.

اصلا messges وجود نداره و در syslog هم نمیدونم دنبال چی باشم

- - - Updated - - -

شما کلا متوجه نشدید
از آیپی‌های من به سایر سرورها اتک زده میشه

- - - Updated - - -





netstat -n | grep :80 | grep SYN |wc -l



با این دستور مثلا میشه با توجه به ابیوز دیتاسنتر که مثلا خودش میگه از فلان پورت‌ها اتک زده شده به جای 80 اینا رو بزنم اونوقت میاره؟