Saldiri durumunda saldiri durum raporlamasi Linux icin

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
Serveriniza saldiri oldugunda asagidaki islemleri yaparak forum kullanicilarina istedikleri bilgileri onceden sunabilir ve saldiri ile ilgili sorunlariniza daha hizli cozum bulabilirsiniz.

Sitenize saldiri oldugunda, mesaj postalanmadan once, asagidaki islemleri sirasi ile yapiniz:

1. Serverinizda root ile ssh ekranina geciniz.
2. vi yada pico ile yeni saldiri_raporu.sh dosyasini aciniz.
3. Asagidaki satirlarin tumunu bu dosya icine kaydederek saklayiniz.
echo "Proses ozeti"
echo "-------------------------------------------------------------------------"
date; ps -ef | awk '{ print $1}' | sort | uniq -c | sort -nr
echo "Top ciktisi"
echo "-------------------------------------------------------------------------"
date; top -c -n1
echo "Netstat TIME_WAIT ciktisi"
echo "-------------------------------------------------------------------------"
date; netstat -an | grep "TIME" | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort | uniq -c | sort -nr | head -20
echo "Netstat SYN_* ciktisi "
echo "-------------------------------------------------------------------------"
date; netstat -an | grep "SYN" | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort | uniq -c | sort -nr | head -20
echo "Access_log IP dagilimi"
echo "-------------------------------------------------------------------------"
date; tail -100000 /var/log/httpd/access_log | awk '{ print $1}' | sort | uniq -c | sort -nr | head -20
echo "iptables kayitlari"
echo "-------------------------------------------------------------------------"
if [ -e /sbin/iptables ]
then
date; iptables --list -n
else
echo "iptables yuklu degil!"
fi
echo "sar ciktisi"
echo "-------------------------------------------------------------------------"
if [ -e /usr/bin/sar ]
then
date; sar
else
echo "sar yuklu degil!"
fi
4. chmod 755 saldiri_raporu.sh komutu ile dosyayi calisir moda geciriniz.
5. ./saldiri_raporu.sh > saldiri_raporu.txt komutunu calistiriniz.
6. saldiri_raporu.txt dosyasini foruma ekleyerek mesajinizi yaziniz.
 

rosende

0
İyinet Üyesi
Katılım
30 Ekim 2005
Mesajlar
479
Reaction score
2
./saldiri_raporu.sh: line 21: sar: command not found


calısmıyor........
 

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
sar "sysstat" paketi icinde gelen sistem aktivite raporu toplayicisi ve sunucusudur.
"sar - Collect, report, or save system activity information"
Bu paket sisteminizde yuklu degil ise "sysstat" paketini kurabilirsiniz: up2date sysstat (RHEL icin) yada yum install sysstat (Fedora icin)

sar olmasada rapor yeterli olacaktir, kurmak zorunda degilsiniz.

[update] Yukaridaki scripti "sar" ve "iptables" yuklu degil ise hata vermeyecek sekilde degistirdim.
 

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
sar sayesinde edinebilecegimiz ornek bir log kopyalarmisiniz buraya, kurmadan once bana tam olarak neleri verdigini gormek istiyorum.

Ayrica, daha once ben loglari bir text e kopyalar oyle incelerdim boyle daha rahat bir hal aldi, tesekkurler ederim.

Kolay gelsin
 

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
sar ile pekcok parametreyi takip edebilirsin (disk, hafiza, CPU ...)

Ornek CPU kullanim ciktisi:

12:00:01 AM CPU %user %nice %system %iowait %idle
12:10:01 AM all 3.30 0.00 0.52 3.76 92.43
12:20:01 AM all 4.04 0.00 0.62 1.56 93.78
12:30:01 AM all 3.73 0.00 0.56 1.70 94.01
12:40:01 AM all 5.31 0.00 0.79 1.82 92.09
12:50:01 AM all 7.06 0.00 0.92 1.88 90.14
01:00:01 AM all 6.08 0.00 0.80 2.14 90.98
01:10:01 AM all 7.92 0.00 1.04 3.48 87.56
01:20:01 AM all 9.06 0.00 1.24 2.22 87.49
01:30:01 AM all 11.30 0.00 1.71 2.24 84.74
01:40:01 AM all 15.63 0.00 2.65 2.03 79.69
01:50:01 AM all 12.72 0.00 1.52 2.46 83.29
02:00:01 AM all 14.32 0.00 1.74 2.61 81.33
02:10:01 AM all 14.27 0.00 1.60 4.97 79.16
02:20:01 AM all 13.46 0.00 1.51 2.20 82.84
02:30:01 AM all 17.87 0.00 2.54 2.00 77.58
02:40:01 AM all 14.30 0.00 1.56 2.26 81.88
02:50:01 AM all 16.43 0.00 1.82 2.33 79.42
03:00:01 AM all 17.68 0.00 1.73 2.36 78.24
03:10:01 AM all 17.82 0.00 1.80 4.90 75.49
03:20:01 AM all 15.94 0.00 1.83 2.46 79.78
03:30:01 AM all 17.61 0.00 2.13 2.53 77.73
03:40:01 AM all 18.94 0.00 2.26 2.33 76.48
03:50:01 AM all 17.67 0.00 1.78 2.30 78.25
04:00:01 AM all 19.78 0.00 2.03 2.72 75.47
04:10:01 AM all 16.23 0.00 1.74 4.77 77.27
04:20:01 AM all 15.59 0.00 1.88 2.26 80.28
04:30:01 AM all 13.19 0.00 1.54 2.14 83.12
04:40:01 AM all 15.30 0.00 1.87 2.24 80.59
04:50:01 AM all 13.86 0.00 1.47 2.12 82.54
05:00:01 AM all 11.53 0.00 1.66 3.39 83.42
05:10:01 AM all 8.10 0.00 1.27 3.96 86.67
05:20:01 AM all 8.79 0.00 1.65 2.55 87.01
05:30:01 AM all 11.46 0.00 2.02 2.81 83.71
05:40:01 AM all 11.05 0.00 1.91 2.56 84.47
05:50:01 AM all 12.67 0.00 1.86 2.61 82.87
06:00:01 AM all 15.07 0.00 1.68 2.62 80.63
 

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Anladim ve cokta begendim, hangi saatler arasinda CPU tavan yapmis veya CPU nun en az ne zaman kullanilmis gorebiliyoruz hatta bu zaman araliklarini inceleyip backup islemlerinide makinanin en sakin calistigi anlarda yaptiririz. Bir cok konuda faydasi olan bi tool anlasilan

Tesekkurler Iyinet.
 

atay

0
İyinet Üyesi
Katılım
29 Ekim 2005
Mesajlar
3,592
Reaction score
37
centos 4.4 kullanıyorum. sar sanırım kurulu değil, up2date sysstat yazdım ama beceremedim.

daha açıklayıcı anlatabilirmisiniz sar kurulumunu?
 

Mywedding

1
İyinet Üyesi
Katılım
26 Eylül 2006
Mesajlar
5,893
Reaction score
96
Konum
www.odatv.com
./saldiri_raporu.sh > saldiri_raporu.txt
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file
[root@eminem ~]# ./saldiri_raporu.sh
Proses ozeti
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file
 

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
./saldiri_raporu.sh > saldiri_raporu.txt
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file
[root@eminem ~]# ./saldiri_raporu.sh
Proses ozeti
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file

Sunlarin ciktisini buraya iletirmisin:

ls -ltr saldiri_raporu.sh
ve
cat saldiri_raporu.sh
 

Mywedding

1
İyinet Üyesi
Katılım
26 Eylül 2006
Mesajlar
5,893
Reaction score
96
Konum
www.odatv.com
[root@emine ~]# ls -ltr saldiri_raporu.sh
-rwxr-xr-x 1 root root 1003 Apr 3 20:20 saldiri_raporu.sh
[root@emine ~]# cat saldiri_raporu.sh
echo "Proses ozeti"
echo -----------------------------------------------------------"
date; ps -ef | awk ' print $1}' | sort | uniq -c | sort -nr
echo "Top ciktisi"
echo "----------------------------------------------------------"
date; top -c -n1
echo "Netstat TIME_WAIT ciktisi"
echo "----------------------------------------------------------"
date; netstat -an | grep "TIME" | grep ":80"| awk '{print $5}'|cut -d":"
-f1 | sort | uniq -c | sort -nr | head -20
echo "Netstat SYN_* ciktisi "
echo "----------------------------------------------------------"
date; tail -100000 /var/log/httpd/access_log | awk '{ print $1}' | sort | uniq -c | sort -nr |
head -20
echo "iptables kayitlari"
echo "----------------------------------------------------------"
if [ -e /sbin/iptables ]
then
date; iptables --list -n
else
echo "iptables yuklu degil"
fi
echo "sar ciktisi"
echo "----------------------------------------------------------"
if [ -e /usr/bin/sar ]
then
date; sar
else
echo "sar yuklu degil!"
fi
 

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
[root@emine ~]# ls -ltr saldiri_raporu.sh
-rwxr-xr-x 1 root root 1003 Apr 3 20:20 saldiri_raporu.sh
[root@emine ~]# cat saldiri_raporu.sh
echo "Proses ozeti"
echo -----------------------------------------------------------"
date; ps -ef | awk ' print $1}' | sort | uniq -c | sort -nr
echo "Top ciktisi"
echo "----------------------------------------------------------"
date; top -c -n1
echo "Netstat TIME_WAIT ciktisi"
echo "----------------------------------------------------------"
date; netstat -an | grep "TIME" | grep ":80"| awk '{print $5}'|cut -d":"
-f1 | sort | uniq -c | sort -nr | head -20
echo "Netstat SYN_* ciktisi "
echo "----------------------------------------------------------"
date; tail -100000 /var/log/httpd/access_log | awk '{ print $1}' | sort | uniq -c | sort -nr |
head -20
echo "iptables kayitlari"
echo "----------------------------------------------------------"
if [ -e /sbin/iptables ]
then
date; iptables --list -n
else
echo "iptables yuklu degil"
fi
echo "sar ciktisi"
echo "----------------------------------------------------------"
if [ -e /usr/bin/sar ]
then
date; sar
else
echo "sar yuklu degil!"
fi

Bende calisiyor, senin dosyada hata nerde cozemedim.
 

Mywedding

1
İyinet Üyesi
Katılım
26 Eylül 2006
Mesajlar
5,893
Reaction score
96
Konum
www.odatv.com
bide benim httpd.conf dosyasındaki bu kısım aşağıdaki gibi değil.

benim httpd.conf : DirectoryIndex at_domains_index.html index.html index.html.var index.shtml index.cfm index.php index.htm

aşağıdakilerden eksiğim varmı acaba

örnek:httpd.conf : DirectoryIndex index.htm index.html index.php index.php3 default.html index.cgi
 

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
62
Konum
Sakarya
bide benim httpd.conf dosyasındaki bu kısım aşağıdaki gibi değil.

benim httpd.conf : DirectoryIndex at_domains_index.html index.html index.html.var index.shtml index.cfm index.php index.htm

aşağıdakilerden eksiğim varmı acaba

örnek:httpd.conf : DirectoryIndex index.htm index.html index.php index.php3 default.html index.cgi

Benimki su sekilde, cunku ben sadece php ve html kullaniyorum
DirectoryIndex index.html index.php

Bunlar o kadar onemli degil, httpd.conf icinde performans degiskenleri var.

httpd.conf dosyani iletirsen inceleyebilirim.
 

CaLViN

0
İyinet Üyesi
Katılım
25 Kasım 2004
Mesajlar
7,485
Reaction score
63
Konum
Antalya
csf için lfd apf için de bfd bu işi yapar.

tercihim lfd den yanadır çünkü daha kullanışlı.yalnız bu tür programların bir dezavantajı var ki o da saldırı anında çalışmaya başlamaları ve sunucu yükünü iyice arttırmaları.

güzel paylaşım.
 

Mywedding

1
İyinet Üyesi
Katılım
26 Eylül 2006
Mesajlar
5,893
Reaction score
96
Konum
www.odatv.com
selam hostbank , aşağıda yazdığını hiç anlayamadım :) , biraz açabilirmisin. teşekkür
csf için lfd apf için de bfd bu işi yapar.

tercihim lfd den yanadır çünkü daha kullanışlı.yalnız bu tür programların bir dezavantajı var ki o da saldırı anında çalışmaya başlamaları ve sunucu yükünü iyice arttırmaları.

güzel paylaşım.
 

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5

Elektronik Sigara Cicisex Porno
Üst