GoDaddy Довідка

Ми спробували якнайкраще перекласти цю статтю. Також доступна версія англійською мовою.

Перегляньте активні з’єднання

Активними підключеннями можуть бути звичайний трафік, боти (сканери пошукових систем) або потенційно зловмисні (трафік атаки). Важливо мати можливість перевіряти активні підключення до вашого сервера та визначати, чи є вони законними чи шкідливими.

Чому слід перевіряти активні з’єднання?

Надмірні з’єднання можуть спричинити:
  • повільність сайту
  • помилок на сторінках
  • інші завдання на сервері є повільними (наприклад, пошта)

Як переглянути активні з’єднання?

ПЕРЕВІРТЕ АКТИВНІ ПІДКЛЮЧЕННЯ ЗА IP
root @ myserver [~] # netstat -ntu | awk '{print $ 5}' | | вирізати -d: -f1 | сортування | uniq -c | сортування -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

У наведеному вище прикладі показано одну IP-адресу з набагато більше підключень, ніж інші IP-адреси. Це може бути ознакою зловмисного трафіку.

ПЕРЕВІРТЕ АКТИВНІ ПІДКЛЮЧЕННЯ ЗА ПОРТОМ

У цьому прикладі показано велику кількість підключень до порту 25 (SMTP). Це може бути ознакою проблеми з поштою.

root @ myserver [~] # netstat -tuna | awk -F ': + | + '' NR > 2 {print $ 5} '| вирізати -d: -f1 | сортування | uniq -c | сортування -n 1 953 1 993 1 995 3 80 200 25

Знайшовши з’єднання, потрібно визначити, до чого вони намагаються отримати доступ.

ПОШУК РЕГИСТРАЦІЙ ДОСТУПУ НА ЧАСТО
ЗАПРОШУВАНУ сторінку root @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' | | сортування | uniq -c | сортування -n | менше 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /

Значеннями "/" слід вказати індексну сторінку кожного сайту та ймовірно звичайний трафік. Записи, розмір яких у 10 разів більший за інші сторінки (наприклад, /xmlrpc.php проти guitars.jpg), можуть свідчити про підозрілу активність.

ПЕРЕВІРТЕ ВИПАДОК APACHE АБО PHP-FPM ДЛЯ ПОМИЛОК Перегляньте журнал помилок Apache
Перегляньте журнал помилок PHP-FPM

Наступні кроки

Отримавши зловмисні IP-адреси та доступ до яких вони намагаються отримати доступ, можна заблокувати ці сервери (брандмауер) або для кожного сайту (.htaccess).
  • Блокування зловмисних IP-адрес у брандмауері сервера (брандмауер Windows, iptables, брандмауер).
  • Використовуйте Plesk або WHM (cphulk) для блокування зловмисних IP-адрес.
  • Використовуєте WordPress? Перегляньте поширені атаки WordPress .