Revisar conexiones activas
Las conexiones activas pueden ser tráfico normal, bots (rastreadores de motores de búsqueda) o tráfico potencialmente malicioso (ataque de fuerza bruta). Es importante poder revisar las conexiones activas a tu servidor y determinar si son legítimas o maliciosas.
¿Por qué debería revisar las conexiones activas?
Las conexiones excesivas pueden causar:- lentitud del sitio
- errores en las páginas
- otras tareas en el servidor son lentas (como el correo)
¿Cómo reviso las conexiones activas?
COMPROBAR CONEXIONES ACTIVAS POR IProot@myserver [~]# netstat -ntu | awk '{print $ 5}' | cut -d: -f1 | ordenar | uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
El ejemplo anterior muestra una dirección IP con muchas más conexiones que otras IP. Esto puede ser un signo de tráfico malicioso.
COMPROBAR LAS CONEXIONES ACTIVAS POR PUERTOEste ejemplo muestra una gran cantidad de conexiones al puerto 25 (SMTP). Esto puede ser un signo de un problema con el correo.
root@myserver [~]# netstat -tuna | awk -F ':+| +'' NR > 2 {print $ 5} '| cut -d: -f1 | ordenar | uniq -c | sort -n 1953 1993 1995 3 80200 25
Una vez que encuentres las conexiones, debes determinar a qué intentan acceder.
BÚSQUEDA DE REGISTROS DE ACCESO PARA LA PÁGINA MÁS SOLICITADAroot@myserver [~] #cat/usr/local/apache/domlogs/*/* | awk '{print $ 7}' | ordenar | uniq -c | sort -n | menos 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 /user-account /56 /favicon.ico 65 /website-stuff /89 /results.json 140 /robots.txt 169 /wp-login.php 270 /wp-admin /admin- ajax.php 441 /xmlrpc.php 448 /
Las entradas para "/" serían la página de índice de cada sitio y probablemente el tráfico normal. Las entradas que son 10 veces más altas que otras páginas (es decir, /xmlrpc.php vs guitars.jpg) pueden indicar actividad sospechosa.
COMPRUEBE QUE NO HAYA ERRORES EN EL REGISTRO DE ERRORES DE APACHE O PHP-FPM Revise el registro de errores de ApacheRevisar el registro de errores de PHP-FPM
Siguientes pasos
Una vez que tengas las direcciones IP maliciosas y lo que intentan acceder, puedes bloquearlas en todo el servidor (firewall) o por sitio (.htaccess)- Bloquea las IP maliciosas en el firewall del servidor (Firewall de Windows, iptables, firewalld).
- Usa Plesk o WHM (cphulk) para bloquear direcciones IP maliciosas.
- ¿Utilizas WordPress? Consulta los ataques comunes de WordPress .