Onderwerp: Logsbekijken

Ik zit met een dediczted server bij een hoster in Duitsland. Nu ligt mijn site al twee dagen onder vuur. Via Putty kan ik inloggen op de server maar weet niet hoe ik de logs kan vinden om te zien vanaf welk ip de aanvallen komen.

De hoster wil er niets aan doen, die zegt dat het vn meerder ip's komt

Mijn vraag is dus: Hoe kan ik vai putty logs bekijken op de server? Ze werken met Plesk en daar is geen optie om dat te zien

Ik zou je sterk adviseren om iemand hiervoor in te huren. Reden hiervoor is dat uit je bericht te merken is dat je niet veel verstand van hebt. Zelfs als wij je hier het goede weg op sturen, zal je veel veel meer moeten weten om e.e.a. te verhelpen. En ik vermoed dat je de luxe niet hebt om paar weken op zijn minst alles te gaan bestuderen.

Dus, hier op de forum lopen enkele goede beheerders, post een verzoek in de juiste forum deel en hopelijk ben je er snel van de problemen af.

Dat ik niet de beroerste ben:

Logs staan meestal in:

/var/log

en dan heeft elke server / applicatie / daemon daarin eigen log erbij. Het is in iedere geval een start punt waar te kijken. Ik voel het al komen, dus hierbij:

Om log te bekijken:

more lognaam.log
of
tail lognaam.log (hierbij krijg je alleen laatste x regels van de log)
of
tail -f lognaam.log (hiermee zie je 'realtime' nieuwe log regels erbij komen).

Succes!

Mvg,
Aleks

klopt wel wat je zegt. maar ik wil alleen de logs eruit hebben waar de ip's instaan waarvan mogelijk de aanval komt

Ik was al zover met het commando ls-l maar krijg alleen dit te zien:

-rw------- 1 root root 926 May 5 17:03 anaconda-ks.cfg
-rw-r--r-- 1 root root 12198 May 5 17:03 install.log
-rw-r--r-- 1 root root 2727 May 5 17:03 install.log.syslog
drwxr-xr-x 3 root root 4096 May 5 18:24 parallels
drwxr-xr-x 3 root root 4096 May 6 21:38 psa

Note: heb nog even zitten zoeken naar waar ik iemand kan vinden hier op het forum die me zou kunnen helpen, maar weet niet waar ik dat moet plaatsen

No offense maar je moet echt iemand hier bij halen..... al heb je de IP's, wat wil je dan gaan doen ??

Aanvulling: zie deze link om te zien in welk onderdeel je dat kan zoeken:
http://www.webhostingtalk.nl/persone...biedingen.html

Blijkbaar heb je totaal geen kennis van *nix gerelateerde OSén.
Persoonlijk zou ik zeggen van; huur iemand in om je doos draaiend te houden, updates en patches op tijd te doen etc etc.

En laat hem/haar CSF / LFD draaien (met IDS enzo)

Mij lijkt het in de eerst zaak uw hoster/transit in te lichten over het probleem en samen oplossing te zoeken. Dat het van meerdere ip's komt wijst op een ddos attack die jij niet op server niveau zal kunnen tegen houden.

Volg de raad op zoals hierboven en laat een systeembeheer/netwerkbeheerder met verstand van zaken hier naar kijken.

Uiteraard heb ik mijn hoster op de hoogte gesteld van dit. Wat die mij antwoord iws dat ze een cisco router kunnen installeren. kosten: 30,00 per 15 minuten. Daar denken ze ruim een dag voor nodig te hebben. dat gaat dus aardig in de papieren lopen.

Wat ontvang je dan ?
udp/tcp/icmp/igmp................ pakketjes ?

Oorspronkelijk geplaatst door mikeh

Wat ontvang je dan ?
udp/tcp/icmp/igmp................ pakketjes ?

No offence mikeh....
Maar TS heeft 0 verstand van *nix. Verwacht je wel dat hij weet wat je daarmee bedoeld?

Oorspronkelijk geplaatst door QBell

No offence mikeh....
Maar TS heeft 0 verstand van *nix. Verwacht je wel dat hij weet wat je daarmee bedoeld?

Inderdaad, dat schiet niet op... overigens over dit:

Oorspronkelijk geplaatst door Eigenaar

Uiteraard heb ik mijn hoster op de hoogte gesteld van dit. Wat die mij antwoord iws dat ze een cisco router kunnen installeren. kosten: 30,00 per 15 minuten. Daar denken ze ruim een dag voor nodig te hebben. dat gaat dus aardig in de papieren lopen.

Vreemde partij. Ze kunnen immers gewoon op hun router gaan nullrouten. Althans, als blijkt dat het veelal van een bepaalde IP-range komt, is dat wel te doen.

Ik wil je toch dringend adviseren professionele hulp in te schakelen en dit op te laten lossen. Het ongemak en de naheffing voor het dataverkeer kosten zelf al genoeg.

Oorspronkelijk geplaatst door Eigenaar

Uiteraard heb ik mijn hoster op de hoogte gesteld van dit. Wat die mij antwoord iws dat ze een cisco router kunnen installeren. kosten: 30,00 per 15 minuten. Daar denken ze ruim een dag voor nodig te hebben. dat gaat dus aardig in de papieren lopen.

Met andere woorden ze zijn nu dus op de hoogte van het probleem, dan kunnen ze dit toch al monitoren voor je zonder dat ze iets extra moeten installeren. Als je al een log zou hebben van waar je attacks (als het al een attack is) komen, dan kan je toch al maatregeling treffen. Als ze bvb een pcap tcpdump dump over een periode van bvb 15 @ 60 minuten en je die bezorgen kan een security analist hier al heel wat meer mee aanvangen dan alleen maar log files.

Verder zou ik een kijken als je bvb eigen dns server draaid of die niet als recusive gebruikt wordt. Het kan ook zijn dat er ergens een open proxy misbruikt wordt, of dat jij bvb een ddos script in je background hebt lopen zonder dat je het beseft. En dat men nu gewoon even de rollen omdraaid.

Maar de vraag is over hoeveel traffic hebben we het hier eigenlijk dat je nu verbruikt tijdens de aanval. En wat is jouw gewoone hoeveelheid van traffic.

Als je even een PM stuurt, wil ik wel even -kosteloos- voor je kijken of ik snel het huidige probleem kan vinden.

Oorspronkelijk geplaatst door QBell

No offence mikeh....
Maar TS heeft 0 verstand van *nix. Verwacht je wel dat hij weet wat je daarmee bedoeld?

Hij mag dan geen kennis van *nix hebben, maar misschien is hij wel op de hoogte van bepaalde protocollen
</nofi>

@TS;

Je zou je logs tijdelijk publiek achter een htaccess kunnen zetten zodat er hier iemand effe naar kan kijken