Linux Saldırı Tespiti

Merhaba,

Bu yazımızda sizlere linux işletim sistemlerinde saldırıyı nasıl tespit edeceğimizi göstereceğiz.

Linux tabanlı işletim sistemlerinde iptables yükleyerek web server da saldırı tespitini oldukça kolay bir şekilde bulabiliriz. Sunucuda load ların yavaş yavaş yükseldiğini görüyorsanız ve load sebebi httpd / apache ise aşağıdaki komutları yürütmek çözüm bulmamızı sağlar.

Sunucumuzun 80 portuna (apache) bağlantı yapan ip leri bağlantı sayısına göre küçükten büyüğe tespit ediyoruz ;

netstat -pant | grep :80 | awk '{ print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

SYN bağlantısını tespit etmek istiyorsak;

netstat -ntu grep :80 | grep SYN  | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -n

İlk sütun bağlantı sayısını, ikinci sütun o bağlantıyı yapan ip adresini gösterir. Burada ilk sütunu 100 den büyük olan ip adresleri görürsek durum iyiye gitmiyor olabilir.

Aşağıdaki komut ile şüpheli ip adreslerini banlayabiliriz;

iptables -A INPUT -s banlanacakipadresi -j DROP

Bu yazımızda sizlere linux işletim sistemlerinde saldırıyı nasıl tespit edeceğimizi göstermeye çalıştık.

Bir sonraki yazımızda görüşmek üzere…