GoDaddy Aide

Nous avons fait de notre mieux afin de traduire cette page pour vous. La page en anglais est également disponible.

Examiner les connexions actives

Les connexions actives peuvent être du trafic normal, des robots (robots d'exploration) ou du trafic potentiellement malveillant (attaque par force brute). Il est important de pouvoir examiner les connexions actives à votre serveur et de déterminer si elles sont légitimes ou malveillantes.

Pourquoi devrais-je examiner les connexions actives?

Des connexions excessives peuvent provoquer:
  • lenteur du site
  • erreurs sur les pages
  • les autres tâches sur le serveur sont lentes (comme la messagerie)

Comment vérifier les connexions actives?

VÉRIFIER LES CONNEXIONS ACTIVES PAR IP
root @ myserver [~] # netstat -ntu | awk '{imprimer $ 5}' | couper -d: -f1 | trier | uniq -c | tri -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

L'exemple ci-dessus montre une adresse IP avec beaucoup plus de connexions que les autres IP. Cela peut être le signe d'un trafic malveillant.

VÉRIFIER LES CONNEXIONS ACTIVES PAR PORT

Cet exemple montre un grand nombre de connexions au port 25 (SMTP). Cela peut être le signe d'un problème avec le courrier.

root @ myserver [~] # netstat -tuna | awk -F ': + | + '' NR > 2 {imprimer 5 $} '| couper -d: -f1 | trier | uniq -c | tri -n 1 953 1 993 1 995 3 80 200 25

Une fois que vous avez trouvé les connexions, vous devez déterminer à quoi elles tentent d’accéder.

RECHERCHER LES JOURNAUX D'ACCÈS AUX PAGE FRÉQUEMMENT DEMANDÉES
root @ myserver [~] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' | trier | uniq -c | sort -n | moins 30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js? ver = 1.4.1 46 / compte-utilisateur / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /

Les entrées pour «/» seraient la page d'index de chaque site et le trafic normal probable. Les entrées 10 fois plus élevées que les autres pages (par exemple /xmlrpc.php vs guitars.jpg) peuvent indiquer une activité suspecte.

VÉRIFIER LE JOURNAL DES ERREURS APACHE OU PHP- FPM
Consulter le journal des erreurs PHP-FPM

Étapes suivantes

Une fois que vous avez les adresses IP malveillantes et à quoi elles essaient d'accéder, vous pouvez les bloquer à l'échelle du serveur (pare-feu) ou par site (.htaccess)
  • Bloquer les adresses IP malveillantes dans le pare-feu du serveur (pare-feu Windows, iptables, pare-feu).
  • Utilisez Plesk ou WHM (cphulk) pour bloquer les adresses IP malveillantes.
  • Vous utilisez WordPress? Consultez les attaques WordPress courantes .