• 16-09-2008, 01:20:30
    #1
    İyi Günler Arkadaşlar

    Sitemde Anormal Bir Artış Var. Kontrol Ettim sürekli bir IP'den giriş var. Şu an 106 online kişi var. 80'i tek bir IP (85.110.142.166)

    netstat komutunu sshda yazınca çıkan listede stat sütununda time,esta,FIN,last,clos,SYN_ bunlar ne anlamlara geliyor.

    Bir de Bu IP Saldıran bir IP mi saldırıyorsa bunu banlamak için ne yapmam gerekir ?
  • 16-09-2008, 01:31:29
    #2
    sunucuoptimizasyon.com
    https://www.r10.net/site-guvenligi-sa...ullanilir.html

    netstat -a komutuyla bağlantı açan ip adreslerini görebilirsin zaten bu komutu verdiğinde aynı ipten üst üste açılmış çokca bağlantı varsa saldırı ihtimali yüksektir




    Bu komutla 80 Portuna Syn açan ipleri bağlantı sayısıyla görebilirsiniz

    Alıntı
    netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n
    Bunu yapmak yerine inetbase tarzı yazılımlar kurarak ortalama bir max connection değeri belirleyerek saldırı yapan iplerin otomatik olarak uzaklaştırılmasını sağlayabilirsin
  • 16-09-2008, 01:39:29
    #3
    ping çektim daha yeni 1354 ms gördüm bu normal değerin çok üstünde değil mi ? 5-6 dk sonra çektim 669 ms civarına düştü.

    Bilgilendirme için teşekkür ediyorum
  • 16-09-2008, 01:42:55
    #4
    sunucuoptimizasyon.com
    ping her zaman saldırı aldığının sonucu vermez bağlantından kaynaklı veya telekomdan kaynaklı olarakta pingleri yüksek görüyor olabilirsin ki sen tek ip adresinden saldırı geldiğini söylüyorsun o tek ipin aşırı yüksek bir bağlantısı ve upload hızı yoksa senin serverinin ping sürelerini etkileyecek kadar bir hat saldırı yapamaz en fazla servis işgal etme dediğimiz ddos saldırı yapar bunuda önlemek yukardaki arkadaşın verdiği tek komuta bakar yada benim önerdiğim yol gibi yaparsın arkana yaslanıp izlersin
  • 16-09-2008, 01:46:00
    #5
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    ping her zaman saldırı aldığının sonucu vermez bağlantından kaynaklı veya telekomdan kaynaklı olarakta pingleri yüksek görüyor olabilirsin ki sen tek ip adresinden saldırı geldiğini söylüyorsun o tek ipin aşırı yüksek bir bağlantısı ve upload hızı yoksa senin serverinin ping sürelerini etkileyecek kadar bir hat saldırı yapamaz en fazla servis işgal etme dediğimiz ddos saldırı yapar bunuda önlemek yukardaki arkadaşın verdiği tek komuta bakar yada benim önerdiğim yol gibi yaparsın arkana yaslanıp izlersin

    sizin önerdiğiniz komut sonucu serverdan şu cevap döndü

    Alıntı
    1 78.181.145.161
    1 88.244.252.101
    Bu sonuç ne anlama geliyor ?
  • 16-09-2008, 01:47:53
    #6
    sunucuoptimizasyon.com
    syn saldırı almıyorsun demek 2 ip 1 er syn isteği yollamış çok önemli değil

    netstat -a çıktısından nasıl sonuç alıyorsun
  • 16-09-2008, 01:59:21
    #7
    netstat -a dan aldığım sonuç aşağıdadır

    Alıntı
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 *:tcpmux * LISTEN
    tcp 0 0 *:2082 * LISTEN
    tcp 0 0 *:2083 * LISTEN
    tcp 0 0 *:2086 * LISTEN
    tcp 0 0 *:2087 * LISTEN
    tcp 0 0 *:mysql * LISTEN
    tcp 0 0 *:sunrpc * LISTEN
    tcp 0 0 *:2095 * LISTEN
    tcp 0 0 localhost:783 * LISTEN
    tcp 0 0 *:2096 * LISTEN
    tcp 0 0 *:http * LISTEN
    tcp 0 0 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12271 SYN_RECV
    tcp 0 0 server.ilkvahiy.net:http 78.181.145.161:2621 SYN_RECV
    tcp 0 0 *:smtps * LISTEN
    tcp 0 0 *:ftp * LISTEN
    tcp 0 0 unknown.vectoral.inf:domain * LISTEN
    tcp 0 0 server.ilkvahiy.net:domain * LISTEN
    tcp 0 0 localhost:domain * LISTEN
    tcp 0 0 localhost:ipp * LISTEN
    tcp 0 0 *:smtp * LISTEN
    tcp 0 0 localhost:rndc * LISTEN
    tcp 0 0 server.ilkvahiy.net:2587 * LISTEN
    tcp 0 0 *:https * LISTEN
    tcp 0 0 *:2077 * LISTEN
    tcp 0 0 *:2078 * LISTEN
    tcp 0 0 server.ilkvahiy.net:http 78.166.136.245:4068 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.136.245:4070 TIME_WAIT
    tcp 0 10164 server.ilkvahiy.net:http 78.166.136.245:4078 ESTABLISHED
    tcp 0 0 server.ilkvahiy.net:http 78.166.136.245:4072 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.136.245:4052 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.136.245:4054 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:ftp dsl85-98-49037.ttnet.:11340 ESTABLISHED
    tcp 0 0 server.ilkvahiy.net:http crawl-66-249-67-5.goo:33845 ESTABLISHED
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:53033 TIME_WAIT
    tcp 0 1 server.ilkvahiy.net:http 78.166.136.245:3977 FIN_WAIT1
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:51979 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.137.147:1047 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:52478 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.137.147:1055 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 88.244.252.101:2093 ESTABLISHED
    tcp 0 0 server.ilkvahiy.net:http 88.244.252.101:2095 ESTABLISHED
    tcp 0 289 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12266 FIN_WAIT1
    tcp 0 289 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12267 FIN_WAIT1
    tcp 0 289 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12264 FIN_WAIT1
    tcp 0 290 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12265 FIN_WAIT1
    tcp 0 288 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12260 FIN_WAIT1
    tcp 0 288 server.ilkvahiy.net:http dsl85-98-49037.ttnet.:12261 FIN_WAIT1
    tcp 0 0 server.ilkvahiy.net:http 78.166.137.147:1073 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 78.166.137.147:1057 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http llf520171.crawl.yahoo:54071 TIME_WAIT
    tcp 0 1 server.ilkvahiy.net:http 85.108.2.94:1312 FIN_WAIT1
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:50869 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:51360 TIME_WAIT
    tcp 0 0 server.ilkvahiy.net:http 85.108.2.91:2098 FIN_WAIT2
    tcp 0 0 server.ilkvahiy.net:http 85.108.2.91:2099 FIN_WAIT2
    tcp 0 0 server.ilkvahiy.net:http au.monitoringservice.:53634 TIME_WAIT
    tcp 0 1 server.ilkvahiy.net:http 85.108.2.94:1311 FIN_WAIT1
    tcp 0 0 *:imaps * LISTEN
    tcp 0 0 *op3s * LISTEN
    tcp 0 0 *op3 * LISTEN
    tcp 0 0 *:imap * LISTEN
    tcp 0 0 *:ftp * LISTEN
    tcp 0 0 *:ssh * LISTEN
    tcp 0 0 server.ilkvahiy.net:ssh dsl85-98-49037.ttnet.:11879 ESTABLISHED
    tcp 0 7288 server.ilkvahiy.net:ssh dsl85-98-49037.ttnet.:12325 ESTABLISHED
    tcp 0 0 server.ilkvahiy.net:ssh dsl85-98-49037.ttnet.:12242 ESTABLISHED
    udp 0 0 *:32768 *
    udp 0 0 unknown.vectoral:domain *
    udp 0 0 server.ilkvahiy.net:domain *
    udp 0 0 localhost:domain *
    udp 0 0 *:ipp *
    udp 0 0 *:32769 *
    Active UNIX domain sockets (servers and established)
    Proto RefCnt Flags Type State I-Node Path
    unix 2 [ ACC ] STREAM LISTENING 7620 /usr/local/apache/logs/fpcgisock
    unix 15 [ ] DGRAM 4979 /dev/log
    unix 2 [ ACC ] STREAM LISTENING 5274 /var/spool/authdaemon/socket.tmp
    unix 2 [ ] DGRAM 9647 @/var/run/hal/hotplug_socket
    unix 2 [ ACC ] STREAM LISTENING 10552 /var/lib/mysql/mysql.sock
    unix 2 [ ACC ] STREAM LISTENING 5377 /var/run/acpid.socket
    unix 2 [ ] DGRAM 3092 @udevd
    unix 2 [ ACC ] STREAM LISTENING 7479 /var/run/ftpd.sock
    unix 2 [ ACC ] STREAM LISTENING 7657 /tmp/.font-unix/fs7100
    unix 2 [ ACC ] STREAM LISTENING 9602 /var/run/dbus/system_bus_socket
    unix 2 [ ] DGRAM 28510
    unix 3 [ ] STREAM CONNECTED 28190 /var/lib/mysql/mysql.sock
    unix 3 [ ] STREAM CONNECTED 28189
    unix 2 [ ] DGRAM 17949
    unix 3 [ ] STREAM CONNECTED 9646 /var/run/dbus/system_bus_socket
    unix 3 [ ] STREAM CONNECTED 9645
    unix 3 [ ] STREAM CONNECTED 9610
    unix 3 [ ] STREAM CONNECTED 9609
    unix 2 [ ] DGRAM 7781
    unix 2 [ ] DGRAM 7518
    unix 2 [ ] DGRAM 7464
    unix 3 [ ] STREAM CONNECTED 7407
    unix 3 [ ] STREAM CONNECTED 7406
    unix 2 [ ] DGRAM 6748
    unix 2 [ ] DGRAM 5750
    unix 2 [ ] DGRAM 5656
    unix 2 [ ] DGRAM 5638
    unix 2 [ ] DGRAM 5617
    unix 2 [ ] DGRAM 5564
    unix 3 [ ] STREAM CONNECTED 5285
    unix 3 [ ] STREAM CONNECTED 5284
    unix 2 [ ] DGRAM 5196
    unix 2 [ ] DGRAM 5069
    unix 2 [ ] DGRAM 4987
  • 16-09-2008, 02:06:09
    #8
    sunucuoptimizasyon.com
    ufak tefek üst üste açılmış bağlantılar var ancak saldırı gibi durmuyor
  • 16-09-2008, 02:18:29
    #9
    şu an sayfama ulaşamıyorum ama servera da ve ping değerleri uçtu yine bazen timeout da yiyor ping değeri