لیست آی‌پی های متصل به سرور لینوکسی

وقتی یه وی‌پی‌اس میگیریم یا سرور خونگی درست میکنیم و برای راحتی خودمون دسترسی خارجیرو باز میکنیم. همیشه باید حواستون به آی‌پی‌های سرگردونی باشه که به هرجایی سر میزنن تا بالاخره بتونن نفوذ کنن. یه گروه خطرناک ازین آ‌ی‌پی ها آی‌پی‌های چینی‌اند. این لاگ دسترسی به وی‌پی‌اس منه:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
185.63.252.128 - - [18/Jan/2015:03:40:06 -0500] "OPTIONS * HTTP/1.0" 200 - "-" "-"
182.254.157.172 - - [18/Jan/2015:05:11:15 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
218.59.238.92 - - [18/Jan/2015:06:09:26 -0500] "CONNECT www.alipay.com:443 HTTP/1.1" 405 316 "-" "-"
24.172.13.186 - - [18/Jan/2015:06:48:29 -0500] "GET /tmUnblock.cgi HTTP/1.1" 400 301 "-" "-"
66.240.192.138 - - [18/Jan/2015:07:44:51 -0500] "GET / HTTP/1.1" 200 312 "-" "-"
66.240.192.138 - - [18/Jan/2015:07:44:51 -0500] "GET /robots.txt HTTP/1.1" 404 286 "-" "-"
5.196.208.31 - - [18/Jan/2015:08:08:10 -0500] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 301 "-" "-"
115.159.66.235 - - [18/Jan/2015:10:53:01 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
182.118.55.135 - - [18/Jan/2015:17:09:55 -0500] "GET / HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2251.0 Safari/537.36"
115.159.68.74 - - [18/Jan/2015:19:12:28 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
1.164.39.215 - - [18/Jan/2015:20:56:12 -0500] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 405 320 "-" "-"
182.254.138.21 - - [18/Jan/2015:22:43:11 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
182.254.141.237 - - [19/Jan/2015:04:02:52 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
74.121.154.128 - - [19/Jan/2015:09:44:00 -0500] "GET /cgi-bin/test-cgi HTTP/1.1" 404 292 "-" "the beast"
110.77.153.239 - - [19/Jan/2015:11:37:03 -0500] "GET /tmUnblock.cgi HTTP/1.1" 400 301 "-" "-"
104.192.0.18 - - [19/Jan/2015:23:14:22 -0500] "GET /rom-0 HTTP/1.0" 404 281 "-" "-"
115.159.67.97 - - [19/Jan/2015:23:40:46 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
115.159.68.74 - - [20/Jan/2015:02:49:23 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
182.254.138.21 - - [20/Jan/2015:05:15:09 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
115.159.66.238 - - [20/Jan/2015:06:19:12 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
91.238.134.99 - - [20/Jan/2015:09:28:15 -0500] "GET http://pl.wikipedia.org/wiki/Special:Search?search=&go=Go HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
115.159.66.235 - - [20/Jan/2015:13:51:41 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
218.59.238.92 - - [20/Jan/2015:16:14:58 -0500] "CONNECT www.alipay.com:443 HTTP/1.1" 405 316 "-" "-"
182.118.53.179 - - [20/Jan/2015:16:28:50 -0500] "GET / HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2251.0 Safari/537.36"
115.159.67.121 - - [20/Jan/2015:18:58:10 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
182.254.141.237 - - [20/Jan/2015:22:16:33 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
115.159.67.103 - - [20/Jan/2015:22:25:57 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
115.159.22.52 - - [20/Jan/2015:23:34:10 -0500] "GET http://www.ly.com/ HTTP/1.1" 200 312 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
173.217.127.166 - - [21/Jan/2015:00:46:01 -0500] "GET /tmUnblock.cgi HTTP/1.1" 400 301 "-" "-"

میبینید که آی‌پی های زیادی بیخودی وصل شدن به وی‌پی‌اس من که به هیچ سایتی وصل نیست. این هم ارورلاگ وی‌پی‌اسه:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
[Sun Jan 18 03:32:04 2015] [notice] Digest: generating secret for digest authentication ...
[Sun Jan 18 03:32:04 2015] [notice] Digest: done
[Sun Jan 18 03:32:04 2015] [notice] Apache/2.2.15 (Unix) DAV/2 configured -- resuming normal operations
[Sun Jan 18 06:07:14 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azenv2.php
[Sun Jan 18 06:09:23 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/az.php
[Sun Jan 18 06:48:29 2015] [error] [client 24.172.13.186] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
[Sun Jan 18 07:44:51 2015] [error] [client 66.240.192.138] File does not exist: /var/www/html/robots.txt
[Sun Jan 18 08:08:10 2015] [error] [client 5.196.208.31] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Sun Jan 18 08:31:47 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azz.php
[Mon Jan 19 04:48:53 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azz.php
[Mon Jan 19 04:48:54 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azz.php
[Mon Jan 19 09:44:00 2015] [error] [client 74.121.154.128] script not found or unable to stat: /var/www/cgi-bin/test-cgi
[Mon Jan 19 11:37:03 2015] [error] [client 110.77.153.239] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
[Mon Jan 19 14:53:48 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/az.php
[Mon Jan 19 14:54:31 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/az.php
[Mon Jan 19 14:56:45 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azenv.php
[Mon Jan 19 14:58:26 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azz.php
[Mon Jan 19 15:07:54 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azenv2.php
[Mon Jan 19 23:14:22 2015] [error] [client 104.192.0.18] File does not exist: /var/www/html/rom-0
[Tue Jan 20 08:58:54 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/azenv2.php
[Tue Jan 20 08:59:33 2015] [error] [client 218.59.238.92] File does not exist: /var/www/html/az.php
[Tue Jan 20 09:28:15 2015] [error] [client 91.238.134.99] File does not exist: /var/www/html/wiki
[Tue Jan 20 14:10:23 2015] [error] [client 177.139.152.157] File does not exist: /var/www/html/phppath
[Wed Jan 21 00:46:01 2015] [error] [client 173.217.127.166] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
[Wed Jan 21 01:11:59 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting

خوب حالا که چی؟

خوب میبینید که توش آی‌پی‌های زیادی از کشور هکرخیز چین به وی‌پی‌اس وصل شدن. خوب اینکه دنبال چیزهایی گشتن که وجود نداره شاید بگید مسئله مهمی نیست ولی سرور با دادن ارور 404 اطلاعاتی مثل نسخه Apache و نسخه نرم‌افزاری سرور به‌دست میاره که بخش نخست Information Gatheringـه

خوب حالا چه کنیم؟

برای دیدن کسایی که به پورت 80 سرور ما وصلن این دستور رو باید بزنید:

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

این دستور خروجی‌ای مثل این روی ترمینال ظاهر میکنه:

1
2
3
4
5
6
7
8
9
10
97 114.198.236.100
56 67.166.157.194
44 170.248.43.76
38 141.0.9.20
37 49.248.0.2
37 153.100.131.12
31 223.62.169.73
30 65.248.100.253
29 203.112.82.128
29 182.19.66.187

شماره کنار هر آی‌پی تعداد کانکشن‌هاییه که اون IP با سرور ما برقرار کرده.

کپی نکنیم، یاد بگیریم

1
netstat -tn 2>/dev/null

این دستور برای لیست کردن تمام ارتباطات با سرور چه خروجی و چه ورودی به کار میره

پارامترها

    -n – نمایش IP به صورت عددی نه Hostname
    -t – نمایش اتصالات TCP

خروجی

tcp        0      0 64.91.*.*:80            114.198.236.100:12763       TIME_WAIT   
tcp        0      0 64.91.*.*:80            175.136.226.244:51950       TIME_WAIT   
tcp        0      0 64.91.*.*:80            175.136.226.244:51951       TIME_WAIT   
tcp        0      0 64.91.*.*:23            202.127.210.2:14517         TIME_WAIT   
tcp        0      0 64.91.*.*:80            149.238.193.121:65268       TIME_WAIT   
tcp        0      0 64.91.*.*:80            114.198.236.100:44088       ESTABLISHED
tcp        0      0 64.91.*.*:80            175.136.226.244:51952       TIME_WAIT
2>/dev/nul

ارسال خروجی های ناخواسته به

/dev/null
، محلی برای تسویه خروجی این دستور

2
grep :80

لیست IPـهایی که با پورت 80 سرور ما ارتباط برقرار کرده‌اند.

خروجی

tcp        0      0 64.91.*.*:80            114.198.236.100:12763       TIME_WAIT   
tcp        0      0 64.91.*.*:80            175.136.226.244:51950       TIME_WAIT   
tcp        0      0 64.91.*.*:80            175.136.226.244:51951       TIME_WAIT   
tcp        0      0 64.91.*.*:80            149.238.193.121:65268       TIME_WAIT   
tcp        0      0 64.91.*.*:80            114.198.236.100:44088       ESTABLISHED
tcp        0      0 64.91.*.*:80            175.136.226.244:51952       TIME_WAIT

3
awk{print $5}

این دستور برای نمایش دادن تنها ستون پنجم اطلاعات netstat می‌باشد.

خروجی

114.198.236.100:12763  
175.136.226.244:51950
175.136.226.244:51951
149.238.193.121:65268
114.198.236.100:44088
175.136.226.244:51952

4
cut -d: -f1

بریدن خروجی توسط کاراکتر دلخواه

پارامترها

-d – کاراکتری که بعد از "d" می‌آید خروجی را می‌برد. مقدار پیش‌فرض این ورودی tab می‌باشد.
-f – تعداد ستون‌های نمایش داده شده.

خروجی

114.198.236.100
175.136.226.244
175.136.226.244
149.238.193.121
114.198.236.100
175.136.226.244

5
sort | uniq -c | sort -nr

سورت کردن لیست، گروه کردن آن‌ها و سورت کردن برعکس خروجی‌ها

خروجی‌ها

sort
114.198.236.100
114.198.236.100
149.238.193.121
175.136.226.244
175.136.226.244
175.136.226.244
uniq -c – Group it.
2 114.198.236.100
1 149.238.193.121
3 175.136.226.244
sort -nr – سورت کردن بر اساس بیشترین اتصال
3 175.136.226.244
2 114.198.236.100
1 149.238.193.121

6
head

این پارامتر اختیاریست و تنها ده نتیجه نخست را نمایش می‌دهد.

نظری وجود ندارد. - نظر دهید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*