Saldiri durumunda saldiri durum raporlamasi Linux icin

[iyinet]

Serveriniza saldiri oldugunda asagidaki islemleri yaparak forum kullanicilarina istedikleri bilgileri onceden sunabilir ve saldiri ile ilgili sorunlariniza daha hizli cozum bulabilirsiniz.

Sitenize saldiri oldugunda, mesaj postalanmadan once, asagidaki islemleri sirasi ile yapiniz:

1. Serverinizda root ile ssh ekranina geciniz.
2. vi yada pico ile yeni saldiri_raporu.sh dosyasini aciniz.
3. Asagidaki satirlarin tumunu bu dosya icine kaydederek saklayiniz.

Alıntı:

echo "Proses ozeti"
echo "-------------------------------------------------------------------------"
date; ps -ef | awk '{ print $1}' | sort | uniq -c | sort -nr
echo "Top ciktisi"
echo "-------------------------------------------------------------------------"
date; top -c -n1
echo "Netstat TIME_WAIT ciktisi"
echo "-------------------------------------------------------------------------"
date; netstat -an | grep "TIME" | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort | uniq -c | sort -nr | head -20
echo "Netstat SYN_* ciktisi "
echo "-------------------------------------------------------------------------"
date; netstat -an | grep "SYN" | grep ":80 "| awk '{print $5}'|cut -d":" -f1 | sort | uniq -c | sort -nr | head -20
echo "Access_log IP dagilimi"
echo "-------------------------------------------------------------------------"
date; tail -100000 /var/log/httpd/access_log | awk '{ print $1}' | sort | uniq -c | sort -nr | head -20
echo "iptables kayitlari"
echo "-------------------------------------------------------------------------"
if [ -e /sbin/iptables ]
then
date; iptables --list -n
else
echo "iptables yuklu degil!"
fi
echo "sar ciktisi"
echo "-------------------------------------------------------------------------"
if [ -e /usr/bin/sar ]
then
date; sar
else
echo "sar yuklu degil!"
fi

4. chmod 755 saldiri_raporu.sh komutu ile dosyayi calisir moda geciriniz.
5. ./saldiri_raporu.sh > saldiri_raporu.txt komutunu calistiriniz.
6. saldiri_raporu.txt dosyasini foruma ekleyerek mesajinizi yaziniz.

[Loi]

sar nedir?

./saldiri.sh: line 21: sar: command not found

[rosende]

./saldiri_raporu.sh: line 21: sar: command not found


calısmıyor........

[iyinet]

sar "sysstat" paketi icinde gelen sistem aktivite raporu toplayicisi ve sunucusudur.
"sar - Collect, report, or save system activity information"
Bu paket sisteminizde yuklu degil ise "sysstat" paketini kurabilirsiniz: up2date sysstat (RHEL icin) yada yum install sysstat (Fedora icin)

sar olmasada rapor yeterli olacaktir, kurmak zorunda degilsiniz.

[update] Yukaridaki scripti "sar" ve "iptables" yuklu degil ise hata vermeyecek sekilde degistirdim.

[Loi]

sar sayesinde edinebilecegimiz ornek bir log kopyalarmisiniz buraya, kurmadan once bana tam olarak neleri verdigini gormek istiyorum.

Ayrica, daha once ben loglari bir text e kopyalar oyle incelerdim boyle daha rahat bir hal aldi, tesekkurler ederim.

Kolay gelsin

[iyinet]

sar ile pekcok parametreyi takip edebilirsin (disk, hafiza, CPU ...)

Ornek CPU kullanim ciktisi:

Alıntı:

12:00:01 AM CPU %user %nice %system %iowait %idle
12:10:01 AM all 3.30 0.00 0.52 3.76 92.43
12:20:01 AM all 4.04 0.00 0.62 1.56 93.78
12:30:01 AM all 3.73 0.00 0.56 1.70 94.01
12:40:01 AM all 5.31 0.00 0.79 1.82 92.09
12:50:01 AM all 7.06 0.00 0.92 1.88 90.14
01:00:01 AM all 6.08 0.00 0.80 2.14 90.98
01:10:01 AM all 7.92 0.00 1.04 3.48 87.56
01:20:01 AM all 9.06 0.00 1.24 2.22 87.49
01:30:01 AM all 11.30 0.00 1.71 2.24 84.74
01:40:01 AM all 15.63 0.00 2.65 2.03 79.69
01:50:01 AM all 12.72 0.00 1.52 2.46 83.29
02:00:01 AM all 14.32 0.00 1.74 2.61 81.33
02:10:01 AM all 14.27 0.00 1.60 4.97 79.16
02:20:01 AM all 13.46 0.00 1.51 2.20 82.84
02:30:01 AM all 17.87 0.00 2.54 2.00 77.58
02:40:01 AM all 14.30 0.00 1.56 2.26 81.88
02:50:01 AM all 16.43 0.00 1.82 2.33 79.42
03:00:01 AM all 17.68 0.00 1.73 2.36 78.24
03:10:01 AM all 17.82 0.00 1.80 4.90 75.49
03:20:01 AM all 15.94 0.00 1.83 2.46 79.78
03:30:01 AM all 17.61 0.00 2.13 2.53 77.73
03:40:01 AM all 18.94 0.00 2.26 2.33 76.48
03:50:01 AM all 17.67 0.00 1.78 2.30 78.25
04:00:01 AM all 19.78 0.00 2.03 2.72 75.47
04:10:01 AM all 16.23 0.00 1.74 4.77 77.27
04:20:01 AM all 15.59 0.00 1.88 2.26 80.28
04:30:01 AM all 13.19 0.00 1.54 2.14 83.12
04:40:01 AM all 15.30 0.00 1.87 2.24 80.59
04:50:01 AM all 13.86 0.00 1.47 2.12 82.54
05:00:01 AM all 11.53 0.00 1.66 3.39 83.42
05:10:01 AM all 8.10 0.00 1.27 3.96 86.67
05:20:01 AM all 8.79 0.00 1.65 2.55 87.01
05:30:01 AM all 11.46 0.00 2.02 2.81 83.71
05:40:01 AM all 11.05 0.00 1.91 2.56 84.47
05:50:01 AM all 12.67 0.00 1.86 2.61 82.87
06:00:01 AM all 15.07 0.00 1.68 2.62 80.63

[Loi]

Anladim ve cokta begendim, hangi saatler arasinda CPU tavan yapmis veya CPU nun en az ne zaman kullanilmis gorebiliyoruz hatta bu zaman araliklarini inceleyip backup islemlerinide makinanin en sakin calistigi anlarda yaptiririz. Bir cok konuda faydasi olan bi tool anlasilan

Tesekkurler Iyinet.

[atay]

centos 4.4 kullanıyorum. sar sanırım kurulu değil, up2date sysstat yazdım ama beceremedim.

daha açıklayıcı anlatabilirmisiniz sar kurulumunu?

[iyinet]

Alıntı:

atay´isimli üyeden Alıntı

centos 4.4 kullanıyorum. sar sanırım kurulu değil, up2date sysstat yazdım ama beceremedim.

daha açıklayıcı anlatabilirmisiniz sar kurulumunu?

centos da sanirim yum var.
yum install sysstat
deneyin.

[Mywedding]

./saldiri_raporu.sh > saldiri_raporu.txt
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file
[root@eminem ~]# ./saldiri_raporu.sh
Proses ozeti
./saldiri_raporu.sh: line 29: unexpected EOF while looking for matching `"'
./saldiri_raporu.sh: line 31: syntax error: unexpected end of file