Linux: Om du har Linux-servrar i ditt datacenter eller om de är värd för en molnserver (t.ex. AWS, Google Cloud eller Azure) kan du inte anta att de är säkra bara på grund av det operativsystem du har installerat. Även om Linux är ett av de säkraste operativsystemen på marknaden är det inte perfekt. Faktum är att det har skett en ökning av attacker mot plattformen, vilket kommer att fortsätta att öka i takt med att Linux blir ännu mer populärt.

Vad gör du?

När du misstänker att en av dina servrar kan vara utsatt för en attack måste du kontrollera den. Men hur? I den här artikeln ska jag visa dig några kommandon som kan hjälpa dig att urskilja om din server drabbas av en DoS-attack (Denial of Service), som kommer från en enda IP-adress och försöker lamslå en webbplats så att dess server blir otillgänglig. Det finns en annan form av denna attack, DDoS (distributed denial of service), som kommer från flera källor.

Vi ska ta reda på hur du kan se om din Linux-server är måltavla för en DoS-attack.

SEE: Policy för skydd mot identitetsstöld (TechRepublic Premium)

Vad du behöver

Det enda du behöver för det här är en instans av Linux och en användare med sudo privilegier. Jag kommer att demonstrera på Ubuntu Server 20.04.

Så här installerar du netstat

Vi kommer att använda verktyget netstat för att ta reda på vilka IP-adresser som för närvarande är anslutna till din server. För att installera netstat på Ubuntu installerar du faktiskt net-tools, på följande sätt:

 sudo apt-get install net-tools -y 

Om du använder CentOS eller en Red Hat-baserad installation bör netstat redan vara installerat.

Hur du kontrollerar din serverbelastning

Det första vi ska göra är att kontrollera vår serverbelastning. Kommandot vi använder för detta kommer att återge antalet logiska processorer (trådar). På en server bör det här antalet vara ganska lågt, men det beror på vad du har igång. Du bör se till att köra en baslinje för detta antal, när du vet att allt är okej. Om du misstänker att något är på gång kan du köra trådkontrollen igen och jämföra den.

För att kontrollera antalet logiska processorer, utför kommandot:

 grep processor /proc/cpuinfo | wc -l 

Om det antalet är betydligt högre än din baslinje kan du ha ett problem.

Till exempel har jag 16 trådar på min Pop!_OS-dator, men på en Ubuntu-server som är värd för Nextcloud har jag bara två. Om något av dessa tal skulle fördubblas kan jag bli utsatt för en DDoS-attack.

Hur du kontrollerar din nätverksbelastning

Vi vill nu kontrollera vår nätverksbelastning. Det finns ett antal verktyg du kan göra detta med, men jag väljer nload. För att installera nload, gör du följande kommando:

 sudo apt-get install nload -y 

På CentOS skulle det kommandot vara:

 sudo dnf install nload -y 

För att köra verktyget behöver du bara utfärda kommandot:

 nload 

Du bör se en ganska normal inkommande och utgående nätverksbelastning (figur A).

Figur A

Om belastningen är betydligt högre än vad du tror att den borde vara kan du vara under attack.

Hur du tar reda på vilka IP-adresser som är anslutna till din server

Nästa sak du vill göra är att ta reda på vilka IP-adresser som är anslutna till din server. För detta använder vi netstat på följande sätt:

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r 

Uppgiften från ovanstående kommando kommer att lista varje IP-adress som är ansluten till servern och hur många instanser från varje. Som du kan se har jag två IP-adresser som är anslutna till min server (en tre gånger) (Figur B).

Figur B

Se till att titta igenom denna lista noggrant. Om du ser en IP-adress med ett stort antal instanser (över 100) är sannolikheten ganska stor att den adressen är den skyldige. När du är säker på vem som är skyldig kan du förbjuda IP-adressen med kommandot:

 sudo route add ADDRESS reject 

Där ADDRESS är den misstänktes IP-adress.

Vid denna tidpunkt kan du gå tillbaka och kontrollera dina trådar, anslutna IP-adresser och nätverksbelastningar på nytt för att se om du har begränsat DoS-attacken. Om så är fallet är det dags att rapportera den misstänkta IP-adressen och förmodligen förbjuda den helt och hållet från ditt nätverk. Nästa gång går jag igenom processen för att mildra en DDoS-attack.

Prenumerera på TechRepublics How To Make Tech Work på YouTube för att få de senaste tekniska råden för företagsprofiler från Jack Wallen.

Se även

• Hur man blir ett proffs på cybersäkerhet: Ett fusklapp (TechRepublic)

• Social ingenjörskonst: En fusklapp för företagspersonal (gratis PDF) (TechRepublic)

• Skugga IT-policy (TechRepublic Premium)

• Onlinesäkerhet 101: Tips för att skydda din integritet från hackare och spioner (ZDNet)

• Cybersecurity and cyberwar: Mer måste läsa (TechRepublic on Flipboard)