V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
makuta
V2EX  ›  问与答

nginx 日志 如何分析 是否被人攻击?

  •  
  •   makuta · 2015-02-15 22:01:29 +08:00 · 5149 次点击
    这是一个创建于 3568 天前的主题,其中的信息可能已经有所发展或是发生改变。
    6 条回复    2015-02-16 07:13:25 +08:00
    kiritoalex
        1
    kiritoalex  
       2015-02-15 22:02:28 +08:00
    这个。。。不好说
    不过php可以看出来
    fu82581983
        2
    fu82581983  
       2015-02-15 22:05:48 +08:00
    1.访问敏感目录,尝试密码
    2.大量访问读写频繁的页面
    3.sql注入的测试
    fising
        3
    fising  
       2015-02-15 22:53:37 +08:00 via iPhone
    还有访问次数异常
    tititake
        4
    tititake  
       2015-02-15 22:58:14 +08:00 via Android
    搜下 fail2ban nginx,有防止proxy、脚本扫描、认证失败、连接频率的规则。
    xuhaoyangx
        5
    xuhaoyangx  
       2015-02-15 23:17:30 +08:00
    cat 日志.log |awk -F ' ' '{print $1}'|sort|uniq -c|sort -nr
    查看最近访问平常的ip,一般攻击的都是各种充分访问或者各种尝试攻击,在短时间log很容易看的出来,这里直接能列得出每个IP的访问次数,如果IP过多,加个|head查看前10

    感觉那个ip疑是就
    cat 日志.log|grep '这个ip'
    最好导出来看,一般是攻击看大访问的地址 等等形式就看得出来了
    msg7086
        6
    msg7086  
       2015-02-16 07:13:25 +08:00
    被攻击是常态……不是什么很少见的事情。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2648 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:05 · PVG 19:05 · LAX 03:05 · JFK 06:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.