我怀疑我的网络服务器出了问题(可能是 DoS 攻击)。事实上,我看到了很多这样的条目:
[Sun Jul 19 10:36:21 2015] [error] [client 141.212.122.18] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /x
[Mon Jul 20 12:19:41 2015] [notice] caught SIGTERM, shutting down
是否有可能阻止他们?(fail2ban?)
答案1
我怀疑这里没有发生任何问题。如果这是一次 DoS 攻击,并且有成功的可能性,那么您会看到更多的流量。
万一有人试图运行漏洞,连接似乎失败了,因为您的服务器仍然处于运行状态,直到大约一天后重新启动。除非时钟发生变化,否则这些日志项绝对不可能相关。
深呼吸,冷静下来……然后修改日志审查流程以寻找模式。我可以建议使用 SEIM 或至少使用具有分析功能的日志聚合器吗?