我目前有一个中型网站,可能存在一些安全漏洞。我想这可能是正常的。你不可能发现所有问题。问题是,我还有几个脚本小子认为日夜尝试破解我的网站很有趣,谁知道他们会做什么。可能是删除数据库之类的事情。我有备份,但这仍然会占用大量内存和 CPU,我更希望停止它。我有什么方法可以分析服务器日志,轻松找出哪些条目是由脚本小子引起的?它们可能每分钟被多次点击识别,但当我可以做一些有价值的事情时,仔细检查并找出这些条目是一件很痛苦的事情。
答案1
cat access_log | awk '{print $1}' | sort | uniq -c |sort -g
应该生成一个访问您网站的 IP 地址的有序列表,第一列是访问次数,第二列是 IP。
您可能需要更改值 $1,这是日志文件行中 IP 地址字段的位置。在我的网络服务器上,它是第一个,因此是 $1,否则字段被定义为“以空格分隔”,因此下一个条目是 $2 等。
答案2
我认为你应该花时间修复你的网站,这样你就不必一直扫描你的日志文件了。
AWStats 或 Webalizer 是著名的网络服务器日志->统计工具,也许您可以从中获益。
答案3
我不知道您认为“中型”网站是什么样的。但如果网站规模足够大,可以将数据库和 Web 服务器放在两台不同的服务器上,那么您可以使用数据库防火墙,例如绿色SQL。这将为您提供有关他们如何实施攻击的更多信息。但您仍然需要一个 http 日志分析器来找出他们攻击的位置(他们试图滥用什么形式)。
答案4
这是我最近提出的一个类似的问题,也许可以为您提供解决方案:
Ubuntu Server 新手指南,需要监控哪些日志以及该怎么做
有很多免费的日志分析器都会告诉你相同的信息。在 Google 上搜索,试用几个,看看你喜欢哪个。
我认为我不会停止备份网站。你应该随时备份。太多事情都可能需要备份。
因此,请检查日志、进行备份、修补系统、使用强密码、防火墙(最近有人推荐等等......
我相信您会在这里得到一些好的建议。