- 10 Tem 2015
- 1,828
- 1
Linux tabanlı işletim sistemlerimizde eğer iptables yüklü ise web server için saldırı tespiti oldukça kolaydır. Sunucunuzda loadların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutlar işinize yarayacaktır.
Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayılarına göre küçükten büyüğe tespit ediyoruz ;
eğer SYN bağlantı tespit etmek istiyorsanız ;
ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini belirtir. Siz burada ilk sütunu 100 den büyük olan ip adresleri görür iseniz şüphelenin.
Aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;
Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayılarına göre küçükten büyüğe tespit ediyoruz ;
Kod:
netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
eğer SYN bağlantı tespit etmek istiyorsanız ;
Kod:
netstat -ntu grep :80 | grep SYN | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n
ilk sütun bağlantı sayısı, ikinci sütun o bağlantıyı yapan ip adresini belirtir. Siz burada ilk sütunu 100 den büyük olan ip adresleri görür iseniz şüphelenin.
Aşağıdaki komut ile şüpheli ip adreslerini banlayabilirsiniz ;
Kod:
1iptables -A INPUT -s banlanacakipadresi -j DROP