활성 연결 검토
활성 연결은 정상적인 트래픽, 봇 (검색 엔진 크롤러) 또는 잠재적으로 악의적 인 트래픽 (브 루트 포스 공격) 일 수 있습니다. 서버에 대한 활성 연결을 검토하고 이들이 합법적인지 악의적인지 판단 할 수 있어야합니다.
활성 연결을 검토해야하는 이유는 무엇입니까?
과도한 연결은 다음을 유발할 수 있습니다.- 사이트 느려짐
- 페이지의 오류
- 서버의 다른 작업이 느립니다 (메일처럼).
활성 연결을 어떻게 검토합니까?
IP로 활성 연결 확인root @ myserver [~] # netstat -ntu | awk '{print $ 5}'| 잘라 내기 -d : -f1 | 정렬 | uniq -c | 정렬 -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16
위의 예는 다른 IP보다 연결 수가 많은 IP 주소 하나를 보여줍니다. 이는 악의적 인 트래픽의 징후 일 수 있습니다.
포트 별 활성 연결 확인이 예는 포트 25 (SMTP)에 대한 대량 연결을 보여줍니다. 이는 메일 문제의 징후 일 수 있습니다.
root @ myserver [~] # netstat -tuna | awk -F ': + | + ''NR > 2 {$ 5 인쇄} '| 잘라 내기 -d : -f1 | 정렬 | uniq -c | 정렬 -n 1 953 1 993 1995 3 80200 25
연결을 찾으면 연결 대상이 무엇인지 확인해야합니다.
자주 요청되는 페이지에 대한 액세스 로그 검색root @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}'| 정렬 | uniq -c | 정렬 -n | 30 이하 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /
"/"에 대한 항목은 각 사이트의 색인 페이지이며 정상적인 트래픽 일 수 있습니다. 다른 페이지 (예 : /xmlrpc.php 대 guitars.jpg)보다 10 배 높은 항목은 의심스러운 활동을 나타낼 수 있습니다.
APACHE 또는 PHP-FPM 오류 로그 에서 오류 확인 Apache 오류 로그 검토PHP-FPM 오류 로그 검토
다음 단계
악의적 인 IP가 확보되고 해당 IP가 액세스하려는 항목이 있으면 서버 전체 (방화벽) 또는 사이트 (.htaccess)별로 차단할 수 있습니다.- 서버 방화벽 (Windows 방화벽, iptables, firewalld)에서 악성 IP 차단
- Plesk 또는 WHM (cphulk)을 사용하여 악성 IP를 차단합니다.
- 워드 프레스를 사용 하시나요? 일반적인 WordPress 공격 을 확인하십시오.
