Как проверить файл журнала, чтобы определить, что это была атака ddos?

Автор: | 10 марта, 2020


Привет Дэвид,

Спасибо за ваш вопрос.

Метод № 1:
Один из способов — просмотреть предыдущее использование полосы пропускания для конкретного сервера. Например, если вы видите высокий пик, то, скорее всего, это злонамеренный спрос.

Метод № 2:
Проверьте расписание загрузки сервера. Видите ли вы пик, когда подозревали, что у вас была атака DOS или DDOS? Если вы видите пик, который значительно выше нормального, он может даже достичь критического уровня, а это, вероятно, атака DDOS или DOS. Обратите внимание, что загрузка сервера может быть вызвана многими обычными вещами, кроме атаки

Проверка нагрузки на сервер во время подозрительной атаки также полезна при работе над митигацией. Чтобы проверить текущую загрузку на сервер, используйте следующее:
* процессор grep / proc / cpuinfo | туалет
* время работы
checkserverload.PNG

Теперь с точки зрения технического предположения, что вы используете сервер на базе Linux, вы можете сделать следующее:

Метод № 3 (Проверьте DDOS на основе количества встреченных IP-адресов):
При DDOS-атаке обычно требуется форма подключения к вашему серверу. Всегда можно проверить, какие IP-адреса больше всего поражают ваш сервер. Посмотрите, какой IP-адрес имеет наибольшее число. Слева, если это чуть больше 200-500, я должен поближе взглянуть, будет ли оно продолжаться, и если да, то я бы начал смягчать конкретный блок IP. Чтобы проверить наиболее часто используемые IP-адреса, используйте следующую команду:
* netstat -ntu | awk ‘{print $ 5}’ | cut -d: -f1 -s | сортировать | uniq -c | сортировать -nk1 -r
* netstat -ntu | awk ‘{print $ 5}’ | cut -d: -f1 -s | cut -f1,2 -d ‘.’ | но ‘s / $ /. 0.0 / ‘| сортировать | uniq -c | сортировать -nk1 -r

1583812471450.png

Проверка атаки грубой силой:
Атака грубой силы — это атака, которая состоит из человека, отправляющего несколько паролей или паролей на ваш сервер.
Цель атаки методом грубой силы — получить доступ к вашему серверу или учетной записи, используя один из множества паролей, отправленных в конкретном
период времени. Чтобы проверить атаку грубой силой, используйте следующую команду:
* netstat -plan | grep: 80 | awk {‘print $ 5’} | cut -d: -f 1 | сортировать | uniq -c | сортировать -n
https://fusionarchosting.com/home/w…te-Force-Attacks-How-to-Detect-and-Block.html

С сервером на основе cPanel вот несколько хороших журналов, чтобы посмотреть и сохранить ссылку:> Входящий и исходящий почтовый журнал | / var / log / exim_mainlog — Узнайте, что случилось с электронной почтой, отправленной на внешний сервер или той, которая пришла на этот сервер.
> POP или IMAP записи о сделках / транзакциях = / var / log / exim_mainlog — Узнайте, что случилось с электронной почтой, отправленной на внешний сервер или той, которая пришла на этот сервер.
> POP или IMAP записи о сделках / транзакциях = / var / log / maillog — Узнайте, когда к почтовому ящику обращались, с какого IP, и был ли он успешным.
> Антиспамовые логи (например, SpamAssassin) = / var / log / maillog — Узнайте, было ли письмо помечено как спам и почему.
> Сообщения, отклоненные сервером SMTP Exim = / var / log / exim_rejectlog — Узнайте, было ли письмо отклонено на уровне соединения из-за политики безопасности exim.
> Журналы сбоев сервера SMTP / POP / IMAP = / var / log / messages, / var / log / maillog, / var / log / exim_paniclog — Узнайте, почему произошел сбой серверов Exim / Courier / Dovecot.
> Почтовые журналы = / usr / local / cpanel / 3rdparty / mailmain / logs / * — журналы в этом каталоге показывают, что произошло с различными списками рассылки.
> Доставка RoundCube и журналы ошибок = / var / cpanel / roundcube / log / * — журналы в этом каталоге показывают детали доставки почты и ошибки доступа к RoundCube.
> Журналы ошибок Орды = / var / cpanel / horde / log / * — Журналы в этом каталоге показывают ошибки Орды.
> SquirrelMail журналы = / var / cpanel / squirrelmail / * — Журналы, связанные с ошибками SquirrelMail.
> Журналы доступа к сайту = / usr / local / apache / domlogs /[DOMAIN_NAME] — Узнайте, какой IP сайт посещал в данный момент времени и статус доступа.
> Журнал ошибок веб-сайта и сервера = / usr / local / apache / logs / error_log — подробности ошибки возвращаются на веб-сайте.
> Мод журнала ошибок безопасности = /usr/local/apache/logs/modsec_audit.log — подробности ошибки mod_security отклонены.
> Журнал аудита SuPHP = / usr / local / apache / logs / suphp_log — Узнайте, под каким пользовательским свойством был выполнен скрипт.
> Apache перезагружается через cPanel / WHM = / usr / local / cpanel / logs / safeapacherestart_log — Узнайте, когда Apache был перезапущен через WHM.
> Логи загрузки файлов = / usr / local / apache / domlogs / ftp.[DOMAIN_NAME]-ftp_log — узнать, по каким IP загружены файлы, основываясь на принадлежности пользователя и статусе загрузки.
https://fusionarchosting.com/home/w…-for-Web-Mail-FTP-WHM-and-MySQL-services.html

Я надеюсь, что это помогло, если у вас есть какие-либо вопросы, не стесняйтесь спрашивать меня, я рад помочь вам. Обратите внимание, что для безопасности наших систем и серверов некоторые из IP-адресов и имен серверов помечены синим цветом при реальной проверке в командной строке или CLI, которые вы не увидите синим цветом. Все это то, что ваш нынешний веб-хост или администратор сервера сможет вам помочь, если вы запустите Полностью управляемый и поддерживаемый сервер,

Я надеюсь, что ваша DOS или DDOS больше не проблема!

==========================
Удачного хостинга!

Марио Кано

/ ~ Агент поддержки Linux ~

«Для начала нужно бросить разговор и начать делать». — Уолт Дисней

Генеральный директор | Fusion Arc Хостинг

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *