-
March 31st, 2012, 19:27
#1
عضو انجمن
چگونه شناسایی حمله بر روی دامنه و مقابله با آن
دورود
اگر سی پنل استفاده میکنید یا کنترل پنل دیگری احساس میکنید لود سرور بی دلیل بالا رفته یا روی وب سرور هنگ کردن و مشکل مشاهده میکنید
top -c
در SSH بزنید برای مرتب کردن آیتم های که بیشترین میزان استفاده از رم مصرف میکنن میتونید با کلید های memory (Shift+M) حافطه را مرتب نید و آیتمی که بالاترین است به منزله این
است که در حال بالا ترین مصرف رم میباشد و برای بالاترین پروسس CPU میتونید با کلید ها Shift+P مشاهده کنید کدام بیشترین مصرف را دارند اگر اکانت مورد نظر پیدا شد که
بمیتونید اکانت را معلق کنید تا بعدا بررسی کنید و لود اگر پایین آمد یعنی به قولی مچ طرف رو گرفتید ولی اگر باز هم لود شما بالا و هنگ کردن سرور مشاهده کردید
میایم شبکه رو چک میکنم یا همون کارت شبکه
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
دستور رابالا رو میزنیم میزان IP وردری به سرور رو میتونید چک کنید که آیا یک رنج یا هر کدام به سرور بیش از حد مجاز متصل میباشند و توسط فایروال ببندید
با استفاده از CSF یا APF این کار را انجام دهید
اگر
APF دارید
cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
اگر حمله بر روی سرور از نوع tcpdump باشد که روی DNS باشد یکی از خطرناک ترین حملات Ddos میباشد بر روی پورت 53 میباشد
میتوانید
tcpdump -vvxXlnni eth0 port 53 | grep A? | awk -F? '{print $2}'
چک کنید
اگر حمله بر روی وب سرور باشد میتونید با استفاده از
service httpd fullstatus
در WHM > Server Status > Apache Status
مشاهده کنید
گزینه بعدی حمله بر SQL میباشد که اینم از خطرناک ترین حملات میباشد هر جند ممکن است پروسس های مربطو به کانفیگ نا صحیح یا اسکریپت های مشکل دار و پرفشار بر روی
sql باشد
به هر حال میتونید از WHM > Server Status > Daily Process Logs
5 آخرین پروسس موجود را kill کنید
گزینه بعدی ممکن است به سرور حمله و فشار بیاورد حمله از نوع ویروس میباشد استفاده از
freshclam عالی است
اگر به اکانت های خود دسترسی دارید از
cd /home/user/public_html
clamscan -i -r -l scanlog.txt &
دنبال فایل های base64 encoded کد شده باشید یا فایل های از Base64 استفاده شده است اکثرا شلرر هستن
cd /home/user/public_html
grep -lir "eval(base64" *.php > scan_base64.txt
گزینه بعدی استفاده بیش از حد کاربر از آپاچی میباشد که به هر علتی مثل لچیر و غیره ممکن است
find /usr/local/apache/domlogs -exec egrep -iH '(wget|curl|lynx|gcc|perl|sh|cd|mkdir|touch)%20
' {} \;
منبع
-
تعداد تشکر ها ازDeltaGostar به دلیل پست مفید
-
March 31st, 2012 19:27
# ADS
پاسخ با نقل قول