Buscar las IP culpables de un ataque DDOS en CPanel

Buscar las IP culpables de un ataque DDOS en CPanel.

Anteriormente ya vimos un articulo bastante extenso sobre esta temática, hoy nos centramos en un ataque ddos en cpanel.

Veremos las IP culpables de un ataque ddos en CPanel, así como a los dominios a los que van dirigidos (si es el caso).

Antes de comenzar y como aporte añadido, te recomiendo que reportes las IP atacantes a alguna pagina especializada. Es una manera excelente de que la comunidad tenga en cuenta esas IP malignas.

En el caso de «sololinux.es» los aportes van dirigidos a «abuseipdb.com«.


Buscar las IP culpables de un ataque DDOS en CPanel 1

Buscar las IP de un ataque DDOS en CPanel

Comenzamos la búsqueda paso por paso.

 

Buscar sitios web con alto trafico

wget -q -O /tmp/acces http://127.0.0.1/whm-server-status


cat /tmp/acces |awk '$0 ~/nowrap/ {print $0}'|awk -F "</td><td nowrap>" '{print $2}' | sort | uniq -c | sort -n

 

Comprobación multipuerto a DDos

for i in  21 25 22 80 110 143 993
do
 echo "Port $i: "
 netstat -tan | grep ":$i " | awk '{print $6}' | sort | uniq -c
done;

for i in 21 25 22 80 110 143 993
do  
  echo -n "Port $i: ";
  netstat -plant  | grep ":$i" | wc -l;
  echo -n "Port $i ( esta ): ";
  netstat -plant  | grep ":$i" | grep -i esta | wc -l;
  echo -n "Port $i ( time_wait ): ";
  netstat -plant  | grep ":$i" | grep -i time_wait | wc -l;
  echo -n "Port $i ( syn ): ";
  netstat -plant  | grep ":$i" | grep -i syn | wc -l ;
done

Buscar las IP culpables de un ataque DDOS en CPanel 2

 

Listar IP que acceden al puerto 80 (ESTABLISHED, SYN y TIME_WAIT)

netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

 

Listar IP que acceden a cualquier puerto (ESTABLISHED, SYN y TIME_WAIT)

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 

Listar IP que tienen establecida una conexión al puerto 80

netstat -plan |grep :80 | grep -i esta | awk '{print $5}' |cut -d: -f1 |sort |uniq -c |sort -n

 

Listar IP que intentan establecer una conexión (SYN) al puerto 80

netstat -plan |grep :80 | grep -i syn | awk '{print $5}' |cut -d: -f1 |sort |uniq -c |sort -n

 

Contabilizar el numero de accesos al puerto 80

netstat -plan |grep :80 | wc -l

 

Localizar a que IP del servidor se realiza el ataque DDOS

netstat -plan| grep :80| awk {'print $4'} | cut -d: -f1|sort|uniq -c|sort -n

 

Identificar desde que IP’s viene el ataque DDOS

netstat -plan | grep  :80 | awk {'print $5'} | cut -d: -f1 |sort |uniq -c|sort -n

Buscar las IP culpables de un ataque DDOS en CPanel 3

 

Registros de acceso en Apache

awk '{print $4,$5}' /var/log/httpd/access_log  | cut -d: -f1,2 | sort | uniq -c

 

Comprobar RIF

find /var/www/vhosts/ -type f -maxdepth 4 -mindepth 4 -iname access_log.processed -exec awk ' $7 ~ /?/ && $7 ~ /http/ {print $1" "$4" "$7" "FILENAME}' {} \;

 

Listado de dominios atacados

cat /tmp/file | awk '{print $12}' | sort | uniq -c | sort -n

 

Con estos pasos identificaras las ip atacantes, así como a los dominios donde fueron dirigidos.

Espero te sea de utilidad.

 

Agregar comentario