GoDaddy Ayuda

Hicimos lo mejor que pudimos para traducir esta página para ti. La página en inglés también está disponible.

Revisar conexiones activas

Las conexiones activas pueden ser tráfico normal, bots (rastreadores de motores de búsqueda) o tráfico potencialmente malicioso (ataque de fuerza bruta). Es importante poder revisar las conexiones activas a tu servidor y determinar si son legítimas o maliciosas.

¿Por qué debería revisar las conexiones activas?

Las conexiones excesivas pueden causar:
  • lentitud del sitio
  • errores en las páginas
  • otras tareas en el servidor son lentas (como el correo)

¿Cómo reviso las conexiones activas?

COMPROBAR CONEXIONES ACTIVAS POR IP
root@myserver [~]# netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | ordenar | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

El ejemplo anterior muestra una dirección IP con muchas más conexiones que otras IP. Esto puede ser un signo de tráfico malicioso.

COMPROBAR LAS CONEXIONES ACTIVAS POR PUERTO

Este ejemplo muestra una gran cantidad de conexiones al puerto 25 (SMTP). Esto puede ser un signo de un problema con el correo.

root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {print $ 5} '| cut -d: -f1 | ordenar | uniq -c | sort -n 1953 1993 1995 3 80200 25

Una vez que encuentres las conexiones, debes determinar a qué intentan acceder.

BÚSQUEDA DE REGISTROS DE ACCESO PARA LA PÁGINA MÁS SOLICITADA
root@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | ordenar | uniq -c | sort -n | menos 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /user-account /56 /favicon.ico 65 /website-stuff /89 /results.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /

Las entradas para "/" serían la página de índice de cada sitio y probablemente el tráfico normal. Las entradas que son 10 veces más altas que otras páginas (es decir, /xmlrpc.php vs guitars.jpg) pueden indicar actividad sospechosa.

COMPRUEBE QUE NO HAYA ERRORES EN EL REGISTRO DE ERRORES DE APACHE O PHP-FPM Revise el registro de errores de Apache
Revisar el registro de errores de PHP-FPM

Siguientes pasos

Una vez que tengas las direcciones IP maliciosas y lo que intentan acceder, puedes bloquearlas en todo el servidor (firewall) o por sitio (.htaccess)
  • Bloquea las IP maliciosas en el firewall del servidor (Firewall de Windows, iptables, firewalld).
  • Usa Plesk o WHM (cphulk) para bloquear direcciones IP maliciosas.
  • ¿Utilizas WordPress? Consulta los ataques comunes de WordPress .