几个月前,服务器受到DDOS攻击。 (我的系统管理员发现了) 此时系统管理员不可用,服务器多次停机。
如何判断我是否受到攻击?什么日志文件?
SSH,APACHE不可用,但我可以ping服务器。然后我重置服务器,一切都恢复正常。我认为他们做了短暂的攻击然后服务器崩溃了。 根据我从上一次攻击者那里得知,他们只是一些白痴,没有真正的“黑客”。
我在syslog中发现的是服务器关闭之前的最后一个日志: WEBSERVERUSER - MAIL(邮寄260字节但输入状态为0x0001)
要查看更多日志?
答案 0 :(得分:4)
要检查的日志取决于操作系统,版本,安装的服务器软件以及配置方式。
基本上,apache web服务器(最常用)具有访问日志:
/var/log/httpd/access_log
和错误记录在这里:
/var/log/httpd/error_log
默认情况下,RHEL上的SSH记录到
/var/log/secure
或syslog
/var/log/messages
我使用denyhost工具来检测&防止对SSHD的暴力攻击。
有很多分析仪可用,只是谷歌IDS,但我不能推荐你具体,直到你给我们上面提到的更多细节。