Sunucuya,Siteye saldiri nasil tespit edilir ?

[CaLViN]

Sunucumuza veya sitemize yapilan saldirilari nasil tespit edebiliriz ?

Sunucuya yapilacak saldirilar icin

ssh a root olarak girelim

su komutu yazalim

Quote:

netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n

eger bos cikarsa syn saldirisi yoktur.lakin yaninda 2-5-78-345 gibi sayilar olan ip ler cikarsa syn saldiri aliyorsunuz demektir.Yanlarindaki sayi ne kadar yuksekse bu saldiri o kadar siddetli demektir.buyuk ihtimal apache dusecek ve siteler erisime kapanacakdir.syn saldirilarda cpu veya ram kullanimi yukselmez.anlamak pek basit degildir.

udp saldirilarinda ise sunucu cpu,ram ve network kullanimi oldukca yukselir.islemci tavan yapar.bu tur saldirilari anlamanin zor olmadigini biliyoruz

netstat -n komutuyla baktigimizda time_wait cok fazla ve ayni ip den ise udp dir.acik bir sekilde udp saldirilari ayirt edilebilir.


---

site odakli saldirilar

site odakli saldirilari anlamak pek kolay olmayacaktir.eger sunucunuzda bir cok site var ise siteleri tek tek host ettiginiz ipden alip baska bir ip ye tasimaktadir.bu surecte tasimadan sonra sunucunuzun normale dondugunu gozlemlerseniz saldirilan siteyi bulmus olursunuz.

genel olarak whm de su 3 bolumden yararlanabilirsiniz.

Apache Status
CPU/Memory/MySQL Usage
Service Status

servis statusden islemci ve ram kullanimini ogrenebilirsiniz.

cpu memory bolumunden hangi sitenin hangi servisin hangi dosyanin ne kadar kaynak tukettigini gorebilir ve buna gore hareket edebilirsiniz.

Apache status kismindan ise hangi sitelere baglanti yapilmis ne kadar surmus hangi ip den yapilmis vs istatistikleri gorebilirsiniz.

ayni ipden yapilacak bir cok baglanti saldiri isaretcisidir.veya ayni dosyaya bir cok yerden giris yapilmasi buna bir ornek olabilir.

--

cozum onerisi

--

sunucunuza ve sitelerinize yapilacak saldiri onlemek icin bir takim basit yazilimlar var.bunlardan en cok bilineni apf bfd ve csf lfd ikilisidir.bunlar cok agir saldirilar karsisinda etkisiz kalacakdir.sadece basit saldirilari engelleyebilirler.bu ikiliden csf yi tavsiye edecegim cunku apf whm ye entegre olamamasi ve hostname banladigi zaman kilitlenmesi ile 2 adim geride kalmaktadir.csf ise whm uzerinden kontrol edilebilen cok kullanisli bir yazilimsal firewall dur.

bunun yaninda kesin olmasada en az %50 oraninda sizi koruyacak donanimsal firewall lar bulunmaktadir.bunlari sunucunuzu aldiginiz verimerkezi ile goruserek temin edebilirsiniz.cisco bunlardan en bilineni ve en guvenilir olanidir.

Saygi ve Sevgi ile..

[eviL]

afp yi onermem, makinayi acaip sisiriyor login olamiyorsunuz ilk kez kullandim cok pisman oldum, kurucak arkadaslara onerimdir.

[sinangunay]

dogru kullanmazsaniz kendi isletim sisteminiz bile cehenneme donebilir apf'in sucu yok, ayarlari dogru yapmak lazim. Sagda solda gordugunuz herseyi sunucunuzda denemeyin, ingilizceniz varsa ayarlari kendi ihtiyaclariniza gore duzenleyin. İyi calismalar

[Holokost]

1 81.213.165.187
1 85.108.59.242
1 88.233.111.29
1 88.235.48.91
1 88.240.19.147
1 88.241.187.156
1 88.242.141.125
3 81.214.172.10
5 85.97.149.243
8 88.229.42.147
8 88.230.25.223
8 88.240.60.219
syn saldiri mi yiyorum yani

[CaLViN]

evet ama ciddi degil.
20 lere 30 lara vardiktan sonra dikkate almalisiniz

[Holokost]

ciddi degil mi zaman zaman artiyor olsa gerek ki asagidaki tabloyla karsilasiyorum

http://img128.imageshack.us/img128/9837/eohayanixi9.jpg

bu kadar yuksek cok nadir oluyor ama 10'dan 20'den asagi da pek dusmuyor load avarage

[sinangunay]

heh sizin acilen profesyonel bir destege ihtiyaciniz var :p

[Holokost]

kerneli bir derleyip toplamak lazim herhalde :p

[sinangunay]

yok canim daha neler

Bu postu okuyunca aklima sey geldi. Bu islerden super(!) anlayan bir eleman vardi vakti zamaninda. Resellerlari saldiri aliyor diye komple hosting isini birakip Dedicated Server satiyordu ama FULL MANAGED olarak. Kendine aldigi saldirilari engelleyemeyen 1 adam nasil full managed sunucu satar anlamiyorum

[lesyaozden]

Bilgilendirdiginiz icin tesekkürler. cok güzel aciklamissiniz