アクティブな接続を確認する

アクティブな接続には、通常のトラフィック、ボット（検索エンジンクローラー）、悪意のあるトラフィック（ブルートフォース攻撃）などがあります。サーバーへのアクティブな接続を確認し、それらが正当なものか悪意のあるものかを判断できることが重要です。

アクティブな接続を確認する必要があるのはなぜですか？

過度の接続は次の原因となる場合があります。

• サイトの遅さ
• ページのエラー
• サーバー上の他のタスクが遅い（メールなど）

アクティブな接続を確認するにはどうすればよいですか？

IPでアクティブな接続を確認

root @ myserver [〜]＃netstat -ntu | awk '{print $ 5}' |カット-d：-f1 |並べ替え| uniq -c | sort -n 1 1.2.3.4 1 5.6.7.8 4 9.10.11.12 5 20.21.22.23 300 13.14.15.16

上記の例は、他のIPよりも多くの接続を持つ1つのIPアドレスを示しています。これは悪意のあるトラフィックの兆候である可能性があります。

ポートごとのアクティブな接続の確認

この例は、ポート25（SMTP）への大量の接続を示しています。メールに問題がある可能性があります。

root @ myserver [〜]＃netstat -tuna | awk -F '：+ | + '' NR > 2 {print $ 5} '|カット-d：-f1 |並べ替え| uniq -c |ソート-n 1 953 1 993 1 995 3 80200 25

接続を見つけたら、接続先を確認する必要があります。

頻繁にリクエストされるページのアクセスログを検索

root @ myserver [〜] #cat / usr / local / apache / domlogs / * / * | awk '{print $ 7}' |並べ替え| uniq -c |ソート-n |以下30 /wp-content/uploads/2018/08/guitars.jpg 36 /wp-includes/js/jquery/jquery.js?ver=1.12.4 36 /wp-includes/js/jquery/jquery-migrate.min .js？ver = 1.4.1 46 / user-account / 56 /favicon.ico 65 / website-stuff / 89 /results.json 140 /robots.txt 169 /wp-login.php 270 / wp-admin / admin- ajax.php 441 /xmlrpc.php 448 /

「/」のエントリは、各サイトのインデックスページで、通常のトラフィックと考えられます。エントリが他のページよりも10倍高い場合（つまり、/ xmlrpc.phpとguitars.jpg）は、不審なアクティビティを示している可能性があります。

APACHEまたはPHP-FPMエラーログでエラーを確認するApacheエラーログを確認する
PHP-FPMエラーログを確認する

次のステップ

悪意のあるIPを入手し、そのIPが何にアクセスしようとしているのかを把握したら、それらをサーバー全体（ファイアウォール）またはサイトごと（.htaccess）にブロックできます。

• サーバーのファイアウォール（Windows Firewall、iptables、firewalld）で悪意のあるIPをブロックします。
• PleskまたはWHM（cphulk）を使用して、悪意のあるIPをブロックします。
• WordPressをお使いですか？一般的なWordPress攻撃を確認してください。