Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
|
procedimiento_ante_ataques [2016/04/07 18:21] 10.12.12.129 creado |
procedimiento_ante_ataques [2017/03/27 17:44] (actual) |
||
|---|---|---|---|
| Línea 12: | Línea 12: | ||
| Comprobamos numero de accesos por IP en los logs de apache de cada dominio: | Comprobamos numero de accesos por IP en los logs de apache de cada dominio: | ||
| awk '{print $1}' /var/www/vhosts/*/logs/access_log | sort | uniq -c | sort -n | awk '{print $1}' /var/www/vhosts/*/logs/access_log | sort | uniq -c | sort -n | ||
| + | |||
| + | Comprobamos el número de IP distintas que acceden al servidor: | ||
| + | cat access_log.processed | cut -d " " -f 1 | sort | uniq | wc -l | ||
| | | ||
| Si encontramos algún patrón de IP pero desconocemos sobre que dominio se está acometiendo el ataque comprobamos con server-status: | Si encontramos algún patrón de IP pero desconocemos sobre que dominio se está acometiendo el ataque comprobamos con server-status: | ||
| Línea 17: | Línea 20: | ||
| systemctl restart httpd.service | systemctl restart httpd.service | ||
| Vamos a un navegador: | Vamos a un navegador: | ||
| - | http:/86.109.107.216/server-status | + | [[http://86.109.107.216/server-status]] |
| | | ||
| Una vez tengamos el dominio, buscamos el log correspondiente filtrando por la IP sospechosa: | Una vez tengamos el dominio, buscamos el log correspondiente filtrando por la IP sospechosa: | ||
| Línea 23: | Línea 26: | ||
| Si estamos seguros de que se trata de un atacante o un bot maligno, bloqueamos en el firewall | Si estamos seguros de que se trata de un atacante o un bot maligno, bloqueamos en el firewall | ||
| + | |||
| + | Herramienta para ir monitorizando los procesos y recursos: | ||
| + | htop | ||