چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

**Fardis Host** · March 18th, 2018, 11:43

سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگ‌های مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر

**ss_movies** · March 23rd, 2018, 19:25

var/log/messges
/var/log/syslog

Possible SYN flooding on port 80

**demonvictor** · April 2nd, 2018, 16:15

نوشته اصلی توسط Fardis Host

سلام
من از دیتاسنتر OVH سرور دارم و ابیوز SYN_ATTACK دریافت کردم. الان بخوام لاگ‌های مربوطه رو چک کنم میشه راهنمایی کنید که در مسیر /var/log باید کدوم لاگ رو بررسی کنم؟
با تشکر

در واقع شما برای حل این مشکل اول باید ای پی هایی که این حملات رو به شما میدن شناسایی کنین در لحظه. اون مواردی که در فایل لاگ ذخیره شدن، حملاتی هستن که انجام شده تموم شده رفته. اما برای اینکه در لحظه بتونین مشاهده کنین، باید فکر چاره ای کنین که در همون لحظه متوجه بشید و در همون لحظه اون ای پی رو مسدودش کنین.
من خودم برای اینکه کانکشن ها رو جوری ***** کنم که فقط SYN هارو بهم نشون بده از دستور زیر استفاده میکنم:

کد PHP:

netstat -n | grep :80 | grep SYN |wc -l

حالا با توجه به خروجی هایی که میگیرین، اونهایی که بالاتر از 3000 هستن، میتونن درخواست هایی باشن که از سمت سروری اومدن که یکنفر برای اتک به سرور شما اون رو تنظیم کرده.

این راهکاری هستش که من استفاده میکنم و خواستم به شما بگم شاید کمکتون کنه برای بعدا چون این تاپیک برای خیلی وقت پیشه و یا اینکه شاید یکی همچین مشکلی داره و بتونه ازین مطلب استفاده کنه.

راهکارای دیگه هستش برای بررسی در لحظه اینها مثل مانیتورینگ و چیزهای دیگه که پیشنهاد این راهکارا برای زمانی که زیر اتک هستین خیلی خنده دار و مسخره ست. چون زمانی که سرورتون زیر اتک هستش در واقع شما تو یه موقعیت اضطراری هستین که دیگه بخایین مانیتورینگ نصب کنین و این داستانا خیلی ناشیانه ست. برای همین این چنین کامندهایی رو همیشه به ذهنتون بسپرین، مطمعنا یک روزی به دردتون میخوره.

**Fardis Host** · April 3rd, 2018, 13:53

اصلا messges وجود نداره و در syslog هم نمیدونم دنبال چی باشم

- - - Updated - - -

شما کلا متوجه نشدید
از آیپی‌های من به سایر سرورها اتک زده میشه

- - - Updated - - -

نوشته اصلی توسط demonvictor

کد PHP:

netstat -n | grep :80 | grep SYN |wc -l

با این دستور مثلا میشه با توجه به ابیوز دیتاسنتر که مثلا خودش میگه از فلان پورت‌ها اتک زده شده به جای 80 اینا رو بزنم اونوقت میاره؟

موضوع: چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

ابزارهای موضوع

نحوه نمایش موضوع

چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

پاسخ : چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

پاسخ : چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

پاسخ : چگونگی بررسی لاگ سرور برای شناسایی اتک‌ها

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

درخواست راهنمایی برای حل مشکل نمایش حروف فارسی به صورت ؟؟؟ در بخش هایی از سایت

آشنایی با سی پی یو های اینتل و راهنمایی برای خرید

سوالات و مشکلات ودر باره سرور های سی سی کم برای باز کشایی کانال های کارتی ماهواره

راهنمایی در مورد ساخت یک سی ام اس

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش