Главная > Linux > Анализ работы WEB сервера Apache

Анализ работы WEB сервера Apache

16 ноября 2018 Написать комментарий К комментариям

Не редко возникает ситуация когда WEB сервер Apache вдруг начинает плохо обрабатывать запросы, или вообще отказывается это делать. Определить что причиной отказа стал именно WEB сервер Apache можно при помощи стандартного монитора Linux. В реальном времени можно видеть что происходит выполнив в терминале команду top.

Если процессов которые использует WEB сервер Apache слишком много, это может говорить о том, что сервер подвергся хакерской атаке. Определить это помогут следующие команды:

Команда просмотра всех активных сетевых соединений

netstat –na

Смотрим конкретно все активные соединения на 80-м порту, обычно это и есть WEB сервер Apache

netstat -an | grep :80 | sort

Далее смотрим число полуоткрытых соединений (SYN RECEIVED). Если таких соединений до пяти, все в порядке, если больше вероятнее всего сервер подвергается нападению злоумышленников

netstat -n -p | grep SYN_RECV | wc -l

Сортируем список IP-адресов, с которых пришли SYN-пакеты.

netstat -n -p | grep SYN_RECV | sort –u

Смотрим список уникальных IP-адресов, с которых пришли SYN-пакеты.

netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’

Так же есть возможность вывести результат подсчета количества соединений к серверу с каждого IP-адреса.

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –n

Вывести результат подсчета количества соединений с сервером по TCP или UDP протоколам с каждого IP-адреса можно так.

netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –n

Так смотрим результат подсчета количества соединений c сервером с каждого IP-адреса, которые в статусе ESTABLISHED (установленные соединения).

netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –nr

Этой командой можно просмотреть список IP-адресов и количество подключений с них к серверу через порт 80, который по умолчанию используется HTTP-протоколом.

netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1

Оценив обстановку и выявив источник неприятностей, разумно штатными средствами Linux, заблокировать адреса с которых проходят атаки.

Categories: Linux Tags:
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.