Linux saldırı tespiti nasıl yapılır?
Linux tabanlı işletim sistemlerinde iptables yükleyerek web server da saldırı tespitini oldukça kolay bir şekilde bulabiliriz. Sunucuda load ların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutları yürütmek çözüm bulmamızı sağlar.
Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayısına göre küçükten büyüğe tespit ediyoruz ;
netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
SYN bağlantısını tespit etmek istiyorsak;
netstat -ntu grep :80 | grep SYN | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n
İlk sütun bağlantı sayısını, ikinci sütun o bağlantıyı yapan ip adresini gösterir. Burada ilk sütunu 100 den büyük olan ip adresleri görürsek durum iyiye gitmiyor olabilir.
Aşağıdaki komut ile şüpheli ip adreslerini banlayabiliriz;
iptables -A INPUT -s banlanacakipadresi -j DROP
Bu yazımızda sizlere linux işletim sistemlerinde saldırıyı nasıl tespit edeceğimizi göstermeye çalıştık.
Bir sonraki yazımızda görüşmek üzere…
Bir önceki yazımız olan Raid Nedir? Ne işe Yarar? Nasıl Kullanılır? Raid Türleri Nelerdir? başlıklı makalemizde centos raid, raid ve raid nasıl kullanılır hakkında bilgiler verilmektedir.