可能なDDOS、どこを見つけるか？どのようなログ？

Question

数ヶ月前にサーバーがDDOS攻撃を受けていました。 （私のシステム管理者が見つかりました） 現時点では、システム管理者は利用できず、サーバーは何度もダウンしました。

私が攻撃を受けているかどうかを知るにはどうすればよいですか？どのようなログファイルですか？

SSH、APACHEは利用できませんでしたが、サーバーにpingを実行できました。それから私はサーバーをリセットし、すべてが再び機能します。私は彼らが短い攻撃を行い、サーバーがクラッシュすると思います。 私が最後の攻撃者から知っていることから、彼らはちょうどいくつかの馬鹿であり、本当の 'ハッカー'ではありません。

私はsyslogに見つけたもの、サーバーの前に最後のログは、ダウンした： WEBSERVERUSER - MAIL（出力の260のバイトを郵送しますが、ステータスは0x0001を得た）

以上を確認するためにどのようなログ？チェックするためにどのようなログ

Answer 1

は、それがを構成していますどのように何インストールされているサーバーソフトウェアOS、何バージョン、およびに依存します。ここ

/var/log/httpd/access_log 

とエラーログ：

/var/log/httpd/error_log 

RHELログのデフォルトでSSH

/var/log/secure 

へ

基本的にはApache Webサーバ（最も使用される）は、ここにアクセスログがありますまたはsyslogへ

/var/log/messages 

私は&がSSHDのブルートフォース攻撃を防ぐために検出するdenyhostツールを使用していました。

利用可能なアナライザは多数ありますが、IDSの場合はgoogleだけですが、上記の詳細を教えていただくまでは、あなたにはお勧めできません。