Tips voor het controleren van je Centos of Linux VPS server

Steeds vaker merk ik dat VPS servers onder vuur komen te liggen van aanvallen als Brute Force, DDOS of malicious scripts. Het resultaat hiervan is een slecht (of zelfs niet) bereikbare server. (denk aan high load, cpu of memory). In dit blog wil ik je een aantal tips geven waarmee je snel kunt bekijken wat er aan de hand is met je VPS server en welke acties je hierop kunt ondernemen.

Wie is er ingelogd?
Een van de eerste acties die ik onderneem is bekijken wie er ingelogd is op de server. Je kunt dit bekijken via het commando last | tac. Kom je hier iets onbekends tegen (bv. een onbekende user welke middels SSH of ftpd aangemeld is) onderneem dan direct actie door deze sessie te killen met het commando: skill -KILL -u <username> en reset vervolgens het wachtwoord met het commando passwd <username>. De betreffende gebruiker(hacker) kan nu niet meer inloggen.

Welke IP adressen zijn verbonden met de server?
bekijk met het commando: netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c welke ip adressen verbonden zijn met je server. Controleer deze adressen met een online ip lookup tool (bv. http://ip-lookup.net/). Zijn het adressen die uit het buitenland komen? Dan is het verstandig om deze via je firewall te blokkeren (iptables) of CSF te installeren. CSF is een firewall plugin voor directadmin.
Het instellen van je firewall is weer een apart onderwerp. We zullen hier later in een apart blog op terugkomen.

Processen bekijken
Is je server druk? Maar weet je niet waarmee? Bekijk dan je processen middels het commando top. Onder de kolom CPU is nu duidelijk te zien welk process voor de zware belasting zorgt. Om te weten te komen wat er precies allemaal draait binnen het process kunnen we het commando lsof -p <PID NUMMER> uitvoeren. Ieder process heeft een eigen PID. Controleer of er vreemde .php of andere scripts draaien binnen dit process. Zo ja, verwijderd de bestanden van je server en herstart je server of het process.

Gewijzigde PHP bestanden bekijken
Met het commando: find . -type f -name ‘*.php’ -mtime -7 kun je heel gemakkelijk een scan uitvoeren op gewijzigde .PHP bestanden. -7 staat in dit geval voor het aantal dagen. Natuurlijk kun je i.p.v. *.php ook op andere extensies zoeken. Hackers uploaden vaak meerdere bestanden met de extensie .PHP.

Stel een mail limiet in
Het is binnen directadmin mogelijk om een mail limiet per gebruiker in te stellen. Hiermee voorkom je dat spammers oneindig veel mailtjes
gaan sturen en je server op een blacklist komt. Daarnaast word er direct een maitje gestuurd als dit limiet is bereikt. Je weet dus meteen dat een account misbruikt word en kunt direct actie ondernemen.Wel zo handig toch? Binnen je directadmin panel ga je naar het admin gedeelte en kies je onder extra features de optie administrator settings.  Onder de kop e-mail heb je de keuze Daily E-Mail limit per DirectAdmin User en Daily limit per E-Mail AccountHeb je geen directadmin tot je beschikking? Voer dan binnen je CentOS omgeving het volgende commando in: echo 200 > /etc/virtual/limit en echo 200 > /etc/virtual/user_limit. De 200 staat voor het aantal mailtjes dat er dagelijks verstuurd mag worden.

Ik hoop je met dit artikel snel op weg te hebben geholpen. Heb je nog vragen of kom je er zelf niet uit? Mail me gerust via [email protected]