আমার সার্ভারটি ডিডিওএস আক্রমণে রয়েছে এবং আমি যে আইপি এটি করছে তা ব্লক করতে চাই, আক্রমণকারীর আইপি নির্ধারণ করার জন্য আমার কোন লগগুলি সন্ধান করা উচিত?
আমার সার্ভারটি ডিডিওএস আক্রমণে রয়েছে এবং আমি যে আইপি এটি করছে তা ব্লক করতে চাই, আক্রমণকারীর আইপি নির্ধারণ করার জন্য আমার কোন লগগুলি সন্ধান করা উচিত?
উত্তর:
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more
শীর্ষস্থানীয় আইপি ঠিকানাগুলি একবার দেখুন। অন্যদের থেকে যদি কেউ দাঁড়ায় তবে সেগুলি ফায়ারওয়াল করবে।
netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
এটি বর্তমানে সক্রিয় সংযোগগুলির দিকে নজর দেবে যে 80 টি পোর্টের সাথে সংযুক্ত কোন আইপি রয়েছে কিনা। আপনার আইপি ঠিকানাটি কলাম 45-এ শুরু না হতে পারে বলে কাট-সি 45- পরিবর্তন করতে হবে। যদি কেউ ইউডিপি বন্যা করছেন আপনার ওয়েবসার্ভার, এটি এটিও বেছে নেবে।
এইগুলির মধ্যে কোনওটিই কোনও আইপি না দেখায় যেগুলি প্রচলিত আদর্শের বাইরে চলে গেছে, আপনাকে ধরে নিতে হবে যে আপনার উপর বোটনেট আক্রমণ করছে এবং তারা কী করছে তা দেখার জন্য লগগুলিতে বিশেষ নিদর্শনগুলির সন্ধান করতে হবে। ওয়ার্ডপ্রেস সাইটগুলির বিরুদ্ধে একটি সাধারণ আক্রমণ হ'ল:
GET /index.php? HTTP/1.0
আপনি যদি নিজের ওয়েবসাইটের অ্যাক্সেস লগগুলি সন্ধান করেন তবে আপনি এর মতো কিছু করতে সক্ষম হবেন:
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
যা আপনাকে সবচেয়ে হিট ইউআরএল দেখায়। আপনি দেখতে পাবেন যে তারা পুরো সাইটটি লোড না করে কোনও নির্দিষ্ট স্ক্রিপ্টে হিট করছে।
cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more
আপনাকে সাধারণ ইউজার এজেন্টস দেখতে দেবে। সম্ভবত তারা তাদের আক্রমণে একটি একক ইউজার এজেন্ট ব্যবহার করছে।
কৌশলটি হ'ল আক্রমণ ট্র্যাফিকের সাথে অভিন্ন কিছু সন্ধান করা যা আপনার সাধারণ ট্র্যাফিকের মধ্যে নেই এবং তারপরে iptables, mod_rewrite বা আপনার ওয়েবহোস্টের মাধ্যমে আপস্ট্রিমের মাধ্যমে ফিল্টার করুন। আপনি যদি স্লোলোরিসের সাথে আঘাত হানতে থাকেন তবে অ্যাপাচি ২.২.১৫-এ এখন রেকটাইমআউট মডিউল রয়েছে যা আপনাকে স্লোলোরিসের বিরুদ্ধে আরও সুরক্ষার জন্য কিছু সেটিংস কনফিগার করতে দেয়।
কিছু ভাল টিপস এখানে। আমি এটি যোগ করতে চাই:
netstat -an | grep ESTABLISHED | awk '\''{print $5}'\'' | awk -F: '\''{print $1}'\'' | sort | uniq -c | awk '\''{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'\''
এটি একটি উপনামের নীচে রাখুন (উদাহরণস্বরূপ) এটি আপনাকে আরও প্রতিষ্ঠিত সংযোগের সাথে আইপিসের একটি "গ্রাফিকাল" দৃষ্টিভঙ্গি দেবে।
আশাকরি এটা সাহায্য করবে.
যারা এই কাজ করতে পারেন না তাদের জন্য আমি সিনট্যাক্সটি ঠিক করে রেখেছি তাই এটি আমার জন্য উবুন্টুর অধীনে চলে:
netstat -an|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|awk '{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'
ডস আক্রমণগুলি পরীক্ষা করার জন্য আমার প্রিয় লগ ফাইলগুলি হ'ল / ভার / লগ / সুরক্ষিত (রেডহাট / সেন্টোস / ফেডোরার অধীনে ....) এবং /var/log/auth.log (উবুন্টু, ডিবিয়ান এর অধীনে ...)। আপনি আক্রমণকারীর উত্স আইপি থেকে ব্যর্থ লগইন প্রচেষ্টা দেখতে পাবেন, প্রায়শই অভিধান ভিত্তিক আক্রমণ।
আমার সার্ভারটি সুরক্ষিত করার জন্য আমি একটি সাধারণ স্ক্রিপ্ট Fail2Ban ব্যবহার করি
/ var / log / pwdfail বা / var / লগ / অ্যাপাচি / ত্রুটি_লগের মতো লগ ফাইলগুলি স্ক্যান করে এবং আইপি নিষিদ্ধ করে যা অনেক বেশি পাসওয়ার্ড ব্যর্থ করে দেয়। এটি আইপি ঠিকানা প্রত্যাখ্যান করার জন্য ফায়ারওয়াল বিধি আপডেট করে।
কোন ডিস্ট্রো?
আমি মনে করি লগটি উবুন্টুর সাথে /var/log/apache2/access.log এর অধীনে রয়েছে ... সম্ভবত ডেবিয়ানও।
আপডেটডোকে sudo হিসাবে চালান তারপর কমান্ড লাইন থেকে অ্যাক্সেস.লগ সনাক্ত করুন।
সম্পাদনা: আমি বিশ্বাস করি যদিও এটি কেবল তখনই ঘটবে যদি তারা আপনাকে পৃষ্ঠাগুলির অনুরোধ করে বা সরাসরি পোর্ট ৮০ এর মাধ্যমে মারতে থাকে they সেই বন্দরে চলছে এবং সেই প্রক্রিয়াটির জন্য সংযোগ লগগুলি একবার দেখুন।
আপনি যদি কোনও বিতরণের ডসের আওতায় থাকেন তবে অবশ্যই একাধিক আইপি ব্লক করতে হবে এবং আইপিগুলি নকল হতে পারে, আপনি এমএসফিনি যেমন বলেছিলেন তত আপনার আইএসপি জিজ্ঞাসা করা ভাল better এছাড়াও এটি আপনার সার্ভারের বিরুদ্ধে কোনও ডসের চেয়ে বেশি হতে পারে তবে প্রকৃত আক্রমণটি সনাক্ত হওয়া থেকে আড়াল করার জন্য একটি রায়, তাই পরীক্ষা করে দেখুন যে আপনার সমস্ত উন্মুক্ত পরিষেবাদি আপ টু ডেট সফটওয়্যার দ্বারা চালিত হয়েছে। আপনি অ্যাপাচের জন্য মোড_ডোসেভসে আগ্রহীও হতে পারেন।
প্রথমে আপনাকে ডসের ধরণ নির্ধারণ করতে হবে। কিছু আক্রমণ খুব চূড়ান্ত কিন্তু কার্যকর (স্লোলোরিস), এর মধ্যে কয়েকটি এত ভারী যে কোনও আইএসপি নিচে আনতে পারে (আইসিএমপি বন্যাকে আপনার আইএসপি উত্সের চেয়ে উচ্চতর ব্যান্ডউইথ থেকে))
আপনি ডসের ধরণ নির্ধারণ করার পরে, আপনার আইএসপিতে কল করুন এবং তাদের জিজ্ঞাসা করুন যে তারা ট্র্যাফিকটি ফিল্টার করতে পারে কিনা।
আমি আইসিএমপি বন্যাকে এত বেশি ভারী দেখেছি যে বিজিপি সম্প্রদায়ের মাধ্যমে প্রবাহের আইএসপিটিকে গন্তব্য আইপি ফিল্টার করতে বলি।