Linux Saldırı Tespiti

Linux tabanlı işletim sistemlerinde iptables yükleyerek web server da saldırı tespitini oldukça kolay bir şekilde bulabiliriz. Sunucuda load ların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutları yürütmek çözüm bulmamızı sağlar.

Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayısına göre küçükten büyüğe tespit ediyoruz ;

netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

SYN bağlantısını tespit etmek istiyorsak;

netstat -ntu grep :80 | grep SYN  | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n

İlk sütun bağlantı sayısını, ikinci sütun o bağlantıyı yapan ip adresini gösterir. Burada ilk sütunu 100 den büyük olan ip adresleri görürsek durum iyiye gitmiyor olabilir.

Aşağıdaki komut ile şüpheli ip adreslerini banlayabiliriz;

iptables -A INPUT -s banlanacakipadresi -j DROP

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir