Denuncie   Favoritos   Indicar  

Identificação de ataque ao servidor [RESOLVIDO]

1. Identificação de ataque ao servidor [RESOLVIDO]

Alex Santos
ajsantos20
(usa Ubuntu)

Enviado em 19/02/2016 - 11:27h

Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

agradeço qualquer ajuda

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 21/02/2016 - 10:58h

    Olá,
    demorei por que faço muitos scripts e fim de semana eu to morto.kkkkk
    primeiro você deve criar uma pasta no home execute o comando


    
mkdir /home/minuto-a-minuto
    
mkdir /home/minuto-a-minuto/con


    depois você deve criar 2 scripts o primeiro pega as conexões e salva
    cd /bin
    nano minuto-a-minuto.sh
    copie e cole os codigos abaixo

    

    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
COMANDO=`netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n`
    
COMANDO1=`netstat -anp |grep 'tcp\|udp' | sort | uniq -c | sort -n`
    
COMANDO2=`netstat -anp |grep 'tcp\|udp' | awk '{print $1}' | cut -d: -f1 | sort | uniq -c | sort -n`
    

    
echo -e " \n\n  Monitoramente De Conexões Por Minuto \n\n `date +%d.%m.%Y_%H-%M-%S` \n\n Monitoring Of Connections Per Minute \n\n  `date`\n\n  $COMANDO \n\n $COMANDO1 \n\n $COMANDO2 \n\n  " > /home/minuto-a-minuto/`date +%d.%m.%Y_%H-%M-%S`-minuto.txt


    depois o segundo script é pra você receber 2 vezes por dia por email as conexões no horario da meia noite e meio dia
    você pode mudar o horario.
    edite com seu email pra eu não ficar recebendo aqui.kkkkk
    cd /bin
    nano conexoes-diarias.sh



    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
cd /home/minuto-a-minuto/
    
zip  `date +%d.%m.%Y_%H-%M-%S`-conexoes.zip *.txt
    
cd /home/minuto-a-minuto/
    
cp *.zip /home/minuto-a-minuto/con
    
echo -e " \n\n Caro Admin Segue Em Anexo Prints Das Conexões Do Servidor Conectado Host \n\n Suporte Virtual \n Conectado Host \n Hopedagem De Sites \n https://conectadohost.com " | mail -s " Prints De Conexões Diárias " -a /home/minuto-a-minuto/*.zip admin@conectadohost.com.br
    
cd /home/minuto-a-minuto/
    
rm -rf *.zip && rm -rf *.txt


    pra funcionar o recebimento por email eu usei a função mail
    depois você coloca no cron

    crontab -e 


    
*/1 * * * * /bin/minuto-a-minuto.sh
    
0 0,12 * * * /bin/conexoes-diarias.sh


    dentro da pasta /home/minuto-a-minuto/con fica as conexões compactadas como forma de cópia

    e por ultimo um script pra bloquear as conexões que tiver mais de 250 conexões
    https://www.vivaolinux.com.br/script/Bloquear-ataques-DDoS-com-bloqueio-de-range-de-IPs-e-avisar-por...


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---
    1 0
  • Quote

    • 3. Re: Identificação de ataque ao servidor

    Estefanio Brunhara
    stefaniobrunhara
    (usa CentOS)

    Enviado em 19/02/2016 - 11:33h

    Complicado hem!
    Se você não tem certeza do que aconteceu, você vai precisar de alguém que possa ler os logs do servidor para você! Se você acha que foi um ataque DDOS, ai vem a pergunta, quem é o responsável pelo firewall/Segurança do servidor?

    Se for você o responsável pelo firewall e a segurança do servidor não importa como foi o ataque, você terá que pagar pelo trafego!



    1 0
  • Quote

    • 4. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 19/02/2016 - 11:37h

    estefaniobrunha escreveu:

    Complicado hem!
    Se você não tem certeza do que aconteceu, você vai precisar de alguém que possa ler os logs do servidor para você! Se você acha que foi um ataque DDOS, ai vem a pergunta, quem é o responsável pelo firewall?

    Se for você o responsável pelo firewall e a segurança do servidor não importa como foi o ataque, você terá que pagar pelo trafego!




    +1
    falou tudo meu jovem

    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    0 0
  • Quote

    • 5. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 19/02/2016 - 11:45h

    ajsantos20 escreveu:

    Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

    em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

    a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

    agradeço qualquer ajuda


    Olá,
    Você utiliza Cpanel/WHM?
    ele tem vários arquivos de logs só não sei se como já passou muito tempo você consiga localizar as conexões.
    eu particularmente desenvolvi vários scripts que me informam a cada 15 minutos e a cada minuto salva toda as conexões do servidor em uma pasta e no final do dia compacta tudo e me envia. http://i.imgur.com/E1VtEBK.png
    tive que fazer isso por que tem muito data center que faz dessas diz que você levou ataques só pra ganhar um $ com trafego.
    dessa forma tenho como provar, mas no seu caso você deveria ter pensado nisso antes, principalmente se você trabalha com hospedagem. vou postar o script no VOL vamos ver o ano que vão aprovar.rsrs


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    1 0
  • Quote

    • 6. Re: Identificação de ataque ao servidor [RESOLVIDO]

    Alex Santos
    ajsantos20
    (usa Ubuntu)

    Enviado em 20/02/2016 - 16:09h

    conectadohost escreveu:

    ajsantos20 escreveu:

    Bom dia, sou iniciante em linux e tenho um servidor cloud na locaweb para usos diversos, inclusive disponibilização de sites.

    em dezembro/15 meu servidor sofreu um ataque (eu acho que DDOS) e isso fez com que ultrapassasse o limite de transferência contratado, agora a locaweb quer me cobrar um valor absurdo por ter ultrapassado limite de transferência, e eu preciso provar que não fui eu que usei e que o servidor foi atacado para tentar recorrer dessa valor.

    a questão é: como posso identificar esse ataque? já li que através dos logs é possível, mas ninguem explica como.

    agradeço qualquer ajuda


    Olá,
    Você utiliza Cpanel/WHM?
    ele tem vários arquivos de logs só não sei se como já passou muito tempo você consiga localizar as conexões.
    eu particularmente desenvolvi vários scripts que me informam a cada 15 minutos e a cada minuto salva toda as conexões do servidor em uma pasta e no final do dia compacta tudo e me envia. http://i.imgur.com/E1VtEBK.png
    tive que fazer isso por que tem muito data center que faz dessas diz que você levou ataques só pra ganhar um $ com trafego.
    dessa forma tenho como provar, mas no seu caso você deveria ter pensado nisso antes, principalmente se você trabalha com hospedagem. vou postar o script no VOL vamos ver o ano que vão aprovar.rsrs


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---


    Olá, obrigado pelas respostas!

    pelo jeito terei de ficar com o prejuízo mesmo, a gente acha que nunca vai acontecer com a gente mas um dia acontece kkk
    o negócio é sempre estar prevenido, ainda tenho muito que aprender sobre linux, então se puderem me ajudar a como me prevenir desses ataques eu agradeço rs.

    Esse seu script é muito interessante, me ajudaria muito, caso possa disponibiliza-lo, ficarei grato: ajsantos20@gmail.com

    0 0
  • Quote

    • 7. Re: Identificação de ataque ao servidor [RESOLVIDO]

    Alex Santos
    ajsantos20
    (usa Ubuntu)

    Enviado em 22/02/2016 - 14:30h

    conectadohost escreveu:

    Olá,
    demorei por que faço muitos scripts e fim de semana eu to morto.kkkkk
    primeiro você deve criar uma pasta no home execute o comando


    
mkdir /home/minuto-a-minuto
    
mkdir /home/minuto-a-minuto/con


    depois você deve criar 2 scripts o primeiro pega as conexões e salva
    cd /bin
    nano minuto-a-minuto.sh
    copie e cole os codigos abaixo

    

    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
COMANDO=`netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n`
    
COMANDO1=`netstat -anp |grep 'tcp\|udp' | sort | uniq -c | sort -n`
    
COMANDO2=`netstat -anp |grep 'tcp\|udp' | awk '{print $1}' | cut -d: -f1 | sort | uniq -c | sort -n`
    

    
echo -e " \n\n  Monitoramente De Conexões Por Minuto \n\n `date +%d.%m.%Y_%H-%M-%S` \n\n Monitoring Of Connections Per Minute \n\n  `date`\n\n  $COMANDO \n\n $COMANDO1 \n\n $COMANDO2 \n\n  " > /home/minuto-a-minuto/`date +%d.%m.%Y_%H-%M-%S`-minuto.txt


    depois o segundo script é pra você receber 2 vezes por dia por email as conexões no horario da meia noite e meio dia
    você pode mudar o horario.
    edite com seu email pra eu não ficar recebendo aqui.kkkkk
    cd /bin
    nano conexoes-diarias.sh



    
#!/bin/bash
    
SHELL=/bin/sh
    
PATH=/sbin:/usr/sbin:/usr/bin:/bin
    

    
cd /home/minuto-a-minuto/
    
zip  `date +%d.%m.%Y_%H-%M-%S`-conexoes.zip *.txt
    
cd /home/minuto-a-minuto/
    
cp *.zip /home/minuto-a-minuto/con
    
echo -e " \n\n Caro Admin Segue Em Anexo Prints Das Conexões Do Servidor Conectado Host \n\n Suporte Virtual \n Conectado Host \n Hopedagem De Sites \n https://conectadohost.com " | mail -s " Prints De Conexões Diárias " -a /home/minuto-a-minuto/*.zip admin@conectadohost.com.br
    
cd /home/minuto-a-minuto/
    
rm -rf *.zip && rm -rf *.txt


    pra funcionar o recebimento por email eu usei a função mail
    depois você coloca no cron

    crontab -e 


    
*/1 * * * * /bin/minuto-a-minuto.sh
    
0 0,12 * * * /bin/conexoes-diarias.sh


    dentro da pasta /home/minuto-a-minuto/con fica as conexões compactadas como forma de cópia

    e por ultimo um script pra bloquear as conexões que tiver mais de 250 conexões
    https://www.vivaolinux.com.br/script/Bloquear-ataques-DDoS-com-bloqueio-de-range-de-IPs-e-avisar-por...


    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---


    Muito bom esses scripts, obrigado por compartilhar, será muito útil para mim.





    0 0
  • Quote

    • 8. Re: Identificação de ataque ao servidor [RESOLVIDO]

    marcio mendes mendes
    conectadohost
    (usa XUbuntu)

    Enviado em 22/02/2016 - 18:39h

    ajsantos20 escreveu:
    Muito bom esses scripts, obrigado por compartilhar, será muito útil para mim.


    opa, sempre que possível estarei postando novos script no VOL.
    se conseguimos ajuda-lo, por favor marque o tópico como resolvido e escolha uma das respostas acima como melhor resposta.

    ---> A arte de programar consiste na arte de organizar e dominar a complexidade.
    ---> Dijkstra <---

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Configuração básica do Conky para mostrar informações sobre a sua máquina no Desktop

    Aprenda a criar músicas com Inteligência Artificial usando Suno AI

    Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET

    Ativando o Modo Noturno via Linha de Comando no GNOME/Wayland

    Instalar certificado digital Safesign, fornecido pela Certisign e utilizado pela OAB-SP, em qualquer distribuição Linux usando distrobox

    Dicas

    Habilitando a importação de senhas no Firefox

    Como corrigir o erro do VirtualBox travar a máquina virtual em tela cheia

    Instalando Google Chrome no Ubuntu 24.04 LTS

    Quantidade de caracteres suportados na barra de endereços dos navegadores

    Instalando o Firefox via pacote .deb no Ubuntu 24.04 LTS

    Tópicos

    Quais são os teus jogos (30)

    Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (33)

    Emular android (8)

    SSD Externo Linux (3)

    instalar linux com intel RST ativo (3)

    Top 10 do mês

    Scripts

    [Python] Adicione a opção Redimensionar e rotacionar imagens ao Nautilus

    [Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse

    [Shell Script] Script para criar certificados de forma automatizada no OpenVpn

    [Shell Script] Conversor de vídeo com opção de legenda

    [C/C++] BRT - Bulk Renaming Tool

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: