Denuncie   Favoritos   Indicar  

Identificação de ataque ao servidor [RESOLVIDO]

1. Identificação de ataque ao servidor [RESOLVIDO]

Alex Santos
ajsantos20
(usa Ubuntu)

Enviado em 19/02/2016 - 11:27h

Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

agradeço qualquer ajuda

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 21/02/2016 - 10:58h

    Olá,
    demorei por que faço muitos scripts e fim de semana eu to morto.kkkkk
    primeiro você deve criar uma pasta no home execute o comando


    
mkdir /home/minuto-a-minuto
    
mkdir /home/minuto-a-minuto/con


    depois você deve criar 2 scripts o primeiro pega as conexões e salva
    cd /bin
    nano minuto-a-minuto.sh
    copie e cole os codigos abaixo

    

    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
COMANDO=`netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n`
    
COMANDO1=`netstat -anp |grep 'tcp\|udp' | sort | uniq -c | sort -n`
    
COMANDO2=`netstat -anp |grep 'tcp\|udp' | awk '{print $1}' | cut -d: -f1 | sort | uniq -c | sort -n`
    

    
echo -e " \n\n  Monitoramente De Conexões Por Minuto \n\n `date +%d.%m.%Y_%H-%M-%S` \n\n Monitoring Of Connections Per Minute \n\n  `date`\n\n  $COMANDO \n\n $COMANDO1 \n\n $COMANDO2 \n\n  " > /home/minuto-a-minuto/`date +%d.%m.%Y_%H-%M-%S`-minuto.txt


    depois o segundo script é pra você receber 2 vezes por dia por email as conexões no horario da meia noite e meio dia
    você pode mudar o horario.
    edite com seu email pra eu não ficar recebendo aqui.kkkkk
    cd /bin
    nano conexoes-diarias.sh



    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
cd /home/minuto-a-minuto/
    
zip  `date +%d.%m.%Y_%H-%M-%S`-conexoes.zip *.txt
    
cd /home/minuto-a-minuto/
    
cp *.zip /home/minuto-a-minuto/con
    
echo -e " \n\n Caro Admin Segue Em Anexo Prints Das Conexões Do Servidor Conectado Host \n\n Suporte Virtual \n Conectado Host \n Hopedagem De Sites \n https://conectadohost.com " | mail -s " Prints De Conexões Diárias " -a /home/minuto-a-minuto/*.zip admin@conectadohost.com.br
    
cd /home/minuto-a-minuto/
    
rm -rf *.zip && rm -rf *.txt


    pra funcionar o recebimento por email eu usei a função mail
    depois você coloca no cron

    crontab -e 


    
*/1 * * * * /bin/minuto-a-minuto.sh
    
0 0,12 * * * /bin/conexoes-diarias.sh


    dentro da pasta /home/minuto-a-minuto/con fica as conexões compactadas como forma de cópia

    e por ultimo um script pra bloquear as conexões que tiver mais de 250 conexões
    https://www.vivaolinux.com.br/script/Bloquear-ataques-DDoS-com-bloqueio-de-range-de-IPs-e-avisar-por...


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---
    1 0
  • Quote

    • 3. Re: Identificação de ataque ao servidor

    Estefanio Brunhara
    stefaniobrunhara
    (usa CentOS)

    Enviado em 19/02/2016 - 11:33h

    Complicado hem!
    Se você não tem certeza do que aconteceu, você vai precisar de alguém que possa ler os logs do servidor para você! Se você acha que foi um ataque DDOS, ai vem a pergunta, quem é o responsável pelo firewall/Segurança do servidor?

    Se for você o responsável pelo firewall e a segurança do servidor não importa como foi o ataque, você terá que pagar pelo trafego!



    1 0
  • Quote

    • 4. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 19/02/2016 - 11:37h

    estefaniobrunha escreveu:

    Complicado hem!
    Se você não tem certeza do que aconteceu, você vai precisar de alguém que possa ler os logs do servidor para você! Se você acha que foi um ataque DDOS, ai vem a pergunta, quem é o responsável pelo firewall?

    Se for você o responsável pelo firewall e a segurança do servidor não importa como foi o ataque, você terá que pagar pelo trafego!




    +1
    falou tudo meu jovem

    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    0 0
  • Quote

    • 5. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 19/02/2016 - 11:45h

    ajsantos20 escreveu:

    Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

    em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

    a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

    agradeço qualquer ajuda


    Olá,
    Você utiliza Cpanel/WHM?
    ele tem vários arquivos de logs só não sei se como já passou muito tempo você consiga localizar as conexões.
    eu particularmente desenvolvi vários scripts que me informam a cada 15 minutos e a cada minuto salva toda as conexões do servidor em uma pasta e no final do dia compacta tudo e me envia. http://i.imgur.com/E1VtEBK.png
    tive que fazer isso por que tem muito data center que faz dessas diz que você levou ataques só pra ganhar um $ com trafego.
    dessa forma tenho como provar, mas no seu caso você deveria ter pensado nisso antes, principalmente se você trabalha com hospedagem. vou postar o script no VOL vamos ver o ano que vão aprovar.rsrs


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    1 0
  • Quote

    • 6. Re: Identificação de ataque ao servidor [RESOLVIDO]

    Alex Santos
    ajsantos20
    (usa Ubuntu)

    Enviado em 20/02/2016 - 16:09h

    conectadohost escreveu:

    ajsantos20 escreveu:

    Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

    em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

    a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

    agradeço qualquer ajuda


    Olá,
    Você utiliza Cpanel/WHM?
    ele tem vários arquivos de logs só não sei se como já passou muito tempo você consiga localizar as conexões.
    eu particularmente desenvolvi vários scripts que me informam a cada 15 minutos e a cada minuto salva toda as conexões do servidor em uma pasta e no final do dia compacta tudo e me envia. http://i.imgur.com/E1VtEBK.png
    tive que fazer isso por que tem muito data center que faz dessas diz que você levou ataques só pra ganhar um $ com trafego.
    dessa forma tenho como provar, mas no seu caso você deveria ter pensado nisso antes, principalmente se você trabalha com hospedagem. vou postar o script no VOL vamos ver o ano que vão aprovar.rsrs


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---


    Olá, obrigado pelas respostas!

    pelo jeito terei de ficar com o prejuízo mesmo, a gente acha que nunca vai acontecer com a gente mas um dia acontece kkk
    o negócio é sempre estar prevenido, ainda tenho muito que aprender sobre linux, então se puderem me ajudar a como me prevenir desses ataques eu agradeço rs.

    Esse seu script é muito interessante, me ajudaria muito, caso possa disponibiliza-lo, ficarei grato: ajsantos20@gmail.com

    0 0
  • Quote

    • 7. Re: Identificação de ataque ao servidor [RESOLVIDO]

    Alex Santos
    ajsantos20
    (usa Ubuntu)

    Enviado em 22/02/2016 - 14:30h

    conectadohost escreveu:

    Olá,
    demorei por que faço muitos scripts e fim de semana eu to morto.kkkkk
    primeiro você deve criar uma pasta no home execute o comando


    
mkdir /home/minuto-a-minuto
    
mkdir /home/minuto-a-minuto/con


    depois você deve criar 2 scripts o primeiro pega as conexões e salva
    cd /bin
    nano minuto-a-minuto.sh
    copie e cole os codigos abaixo

    

    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
COMANDO=`netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n`
    
COMANDO1=`netstat -anp |grep 'tcp\|udp' | sort | uniq -c | sort -n`
    
COMANDO2=`netstat -anp |grep 'tcp\|udp' | awk '{print $1}' | cut -d: -f1 | sort | uniq -c | sort -n`
    

    
echo -e " \n\n  Monitoramente De Conexões Por Minuto \n\n `date +%d.%m.%Y_%H-%M-%S` \n\n Monitoring Of Connections Per Minute \n\n  `date`\n\n  $COMANDO \n\n $COMANDO1 \n\n $COMANDO2 \n\n  " > /home/minuto-a-minuto/`date +%d.%m.%Y_%H-%M-%S`-minuto.txt


    depois o segundo script é pra você receber 2 vezes por dia por email as conexões no horario da meia noite e meio dia
    você pode mudar o horario.
    edite com seu email pra eu não ficar recebendo aqui.kkkkk
    cd /bin
    nano conexoes-diarias.sh



    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
cd /home/minuto-a-minuto/
    
zip  `date +%d.%m.%Y_%H-%M-%S`-conexoes.zip *.txt
    
cd /home/minuto-a-minuto/
    
cp *.zip /home/minuto-a-minuto/con
    
echo -e " \n\n Caro Admin Segue Em Anexo Prints Das Conexões Do Servidor Conectado Host \n\n Suporte Virtual \n Conectado Host \n Hopedagem De Sites \n https://conectadohost.com " | mail -s " Prints De Conexões Diárias " -a /home/minuto-a-minuto/*.zip admin@conectadohost.com.br
    
cd /home/minuto-a-minuto/
    
rm -rf *.zip && rm -rf *.txt


    pra funcionar o recebimento por email eu usei a função mail
    depois você coloca no cron

    crontab -e 


    
*/1 * * * * /bin/minuto-a-minuto.sh
    
0 0,12 * * * /bin/conexoes-diarias.sh


    dentro da pasta /home/minuto-a-minuto/con fica as conexões compactadas como forma de cópia

    e por ultimo um script pra bloquear as conexões que tiver mais de 250 conexões
    https://www.vivaolinux.com.br/script/Bloquear-ataques-DDoS-com-bloqueio-de-range-de-IPs-e-avisar-por...


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---


    Muito bom esses scripts, obrigado por compartilhar, será muito útil para mim.





    0 0
  • Quote

    • 8. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 22/02/2016 - 18:39h

    ajsantos20 escreveu:
    Muito bom esses scripts, obrigado por compartilhar, será muito útil para mim.


    opa, sempre que possível estarei postando novos script no VOL.
    se conseguimos ajuda-lo, por favor marque o tópico como resolvido e escolha uma das respostas acima como melhor resposta.

    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    Função que recebe 20 números inteiros e retorna o 6° maior elemento do... (2)

    Kernel panic not syncing (0)

    Melhorando a precisão de valores flutuantes em python[RESOLV... (15)

    Mint começou a apresentar varios erros (2)

    Recuperar arquivos de HD em formato RAW usando Linux (1)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: