檢視啟用中的連線

啟用的連線可能是一般流量，漫遊器（搜尋引擎的網路爬蟲）或潛在的惡意流量（暴力破解攻擊）。務必檢查到伺服器的有效連線，並確定這些連線為合法或惡意，這一點十分重要。

為什麼我要檢閱活動中的連線？

連線過多可能會導致：

• 網站速度變慢
• 頁面錯誤
• 伺服器上的其他工作速度很慢（如郵件）

我該如何檢閱活動中的連線？

透過IP檢查活動連線

root @ myserver [〜]＃netstat -ntu | awk'{print $ 5}'|切割-d：-f1 |排序| uniq -c |排序-n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

上例顯示一個IP位址的連線數超過其他IP的數目。這可能表示惡意流量。

按埠檢查活動連接

此範例顯示大量連接埠25（SMTP）的連接。這可能表示郵件有問題。

root @ myserver [〜]＃netstat -tuna | awk -F'：+ | +''NR > 2 {print $ 5}'|切割-d：-f1 |排序| uniq -c |排序-n 1 953 1 993 1 995 3 80 200 25

找到連線後，您需要確定連線嘗試存取的內容。

搜尋要求頁面的存取

紀錄root @ myserver [〜] #cat / usr / local / apache / domlogs / * / * | awk'{print $ 7}'|排序| uniq -c |排序-n |較少30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js？ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /

輸入「/」即會成為各網站的索引頁面，且可能為正常流量。如果頁面比其他頁面高出10倍（即/xmlrpc.php vs吉它.jpg），可能表示活動可疑。

檢查APACHE或PHP-FPM錯誤記錄檢視Apache錯誤記錄
檢視PHP-FPM錯誤記錄

後續步驟

一旦取得惡意IP，以及這些IP試圖存取的內容，您就可以封鎖這些惡意IP，例如伺服器範圍（防火牆）或每個網站（.htaccess）

• 封鎖伺服器防火牆內的惡意IP（Windows防火牆，iptables，firewalld）。
• 使用Plesk或WHM（cphulk）封鎖惡意IP。
• 使用WordPress？查看常見WordPress攻擊。