Bir kaç şey daha ekliyim
netstat -na | grep ":80 " | wc -l
komutuyla apacheye gelen istek sayısı ( kullanıcı sayısı ) nı görebilirsiniz abartılı bir şekilde 1500-2000 gibi rakamlar çıkıyorsa botnettir ve 1500-2000 botla yapılan bir saldırıysa denemedim ama aşağıdaki işlemlerle saldıran ipleri iptablesten banlayabilirsiniz iptables 2000 ipe kadar banlama yapabilir
ilk önce root ssh ile bağlanarak
cd ..
cd tmp
komutlarıyla tmp dizinine gidin
nano ban
komutuyla tmp içinde ipler diye bir dosya oluşturun
netstat -an komutu ile bağlantı açan ipleri görüp syn açan ipleri kopyalayıp not defterinde düzenleyip
11.11.111.11
22.22.222.22
33.3.333.333
şeklinde düzenleyerek tmp içinde oluşturduğunuz ipler dosyası içine yazılır ve alttaki komut çalıştırılarak bu ipler banlanmış olur
while read ipler; do iptables -A INPUT -s $ipler -j DROP ; done < /tmp/ipler
böylelilkle sunucumuz 3-4 k bota kadar dayanacaktır ( teorik olarak ) daha fazlasında yine gümleyebilir
Botnet saldırı alan arkadaşlara ücretsiz olarak destek verebilirim ( ilk etapta keşif amaçlı )
Önemli dipnot: Çoğu arkadaşımız saldırı geldiğinde ssh ye falan giremessinki falan diyebilir çok çeşitli botnet saldırıları var zamanında aldığım bir saldırıda microsof url control adındaki botlar siteye giriyordu hattı 40 mbite fırlatıp sunucuya erişimi tamamen engelliyordu yukardaki htaccess kodundan sonra bu saldırı serveri etkilememeye başladı ardından farklı bir saldırı geldi mrtg 0 landı çünkü bu sefer apache gümlemişti ancak diğer servisler çalışıyordu işte böyle bir saldırıda sshden rahatça gelen istekleri görüp rahat rahat dediklerimi yapabilirsiniz ben uygulayacaktım ama saldırı kesildi şansıma deneyemedim bunu haricinde makineye ulaşamıyorsanız reboot paneliniz varsa ordan yada dc ile iletişime geçerek reboot attırıp sunucu açılır açılmaz makina fail olmadan apacheyi durdurup işlemleri yapabilirsiniz biraz hızlı olmaya bakıyor dediklerim