我不是阅读日志的专家,所以今天我在另一个论坛上发布了一些日志答案:DDOS 攻击。这是我目前所做的:
将所有 sys 日志、kern 日志、ufw 日志和 auth 日志复制到一个文件夹中,并将它们合并为一个文本文件
grep:
grep -E "UFW" ~/merged.log > ~/filter_ufw_Block_lines.txtgrep:
grep -E -o "SRC=([0-9]{1,3}[\.]){3}[0-9]{1,3}" ~/filter_ufw_block_lines.txt > ~/Get_SRC_IP_Addresses.txtsort -u ~/Get_SRC_IP_Addresses.txt > ~/unique_SRC_IP.txt
步骤 2 和 3 共有 14,893 行,均包含 UFW 块条目;步骤 4 共有 1,967 行,即大约 2000 个 IP 地址。
我正在创建一个个人博客网站,该网站已经上线 7-8 天了,到目前为止只有一个默认的 wordpress 页面。我知道服务器受到攻击是正常现象,但我仍然收集详细信息,因为我学到了很多东西。
隔离了唯一的攻击 IP 地址后,我们能否一次性阻止它们。是否可以创建此类 IP 地址的动态列表,并由服务器阻止。这可能吗?以下是两个文件唯一的源 IP 地址和合并日志的部分。
答案1
无需任何软件即可动态阻止 IP 地址
首先,你的标题毫无意义。软件必须参与其中。没有办法解决这个问题。也许你的意思是“任何附加软件”?
接下来 - 如果这些 IP 已经在你的 UFW 阻止日志中,那么你为什么还要再次阻止它们?UFW 有已经阻止了他们?
坦白说,如果你想这样做,你真的应该安装 fail2ban。这是一个写得很好、易于理解且文档齐全的工具,可以实时分析你的日志并采取行动。
我知道服务器遭受攻击是正常现象,但我仍然努力收集详细信息,因为我学到了很多东西。
你怎么知道这是一次攻击?8 天内 2000 次点击?这没有什么。在如此小的规模下,它不会影响服务器的性能,所以这有什么大不了的?如果您担心 Wordpress 遭受暴力攻击,那么只需安装 fail2ban 即可解决。
你在互联网上有一个服务器。它是去会受到一定程度的噪音影响。这是意料之中的事情。除非它影响性能,否则不要太担心。