SSH Üzerinde Linux Saldırı Tespiti /SAK /Sanayeryokburada

Sanayeryokburada

Uzman üye
10 Tem 2015
1,830
0
Linux tabanlı işletim sistemlerimizde eğer iptables yüklü ise web server için saldırı tespiti oldukça kolaydır. Sunucunuzda loadların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutlar işinize yarayacaktır.

Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayılarına göre küçükten büyüğe tespit ediyoruz ;


Kod:
netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

linux-saldiri-tespit-etme-1.png


eğer SYN bağlantı tespit etmek istiyorsanız ;

Kod:
netstat -ntu grep :80 | grep SYN  | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n

linux-saldiri-tespiti-1.png


ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini belirtir. Siz burada ilk sütunu 100 den büyük olan ip adresleri görür iseniz şüphelenin.

Aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;


Kod:
1iptables -A INPUT -s banlanacakipadresi -j DROP
 

THT SON MESAJLAR

Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.