Debian Apache日志中如何查找恶意访问

在Debian系统上，Apache日志文件通常位于/var/log/apache2/目录下，包括access.log和error.log。要查找恶意访问，可以采取以下几种方法：

使用命令行工具分析日志

• 查看访问日志：使用cat命令查看完整的访问日志文件。

  cat /var/log/apache2/access.log
  

• 实时监控访问日志：使用tail -f命令实时查看日志文件的变化。

  tail -f /var/log/apache2/access.log
  

• 查找特定关键字：使用grep命令查找特定的关键字或模式，例如查找错误信息。

  grep "error" /var/log/apache2/error.log
  

• 统计IP访问次数：使用awk、sort和uniq等命令统计每个IP地址的访问次数。

  cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr
  

• 查找恶意IP：通过分析错误日志中的“File does not exist”错误来查找恶意IP。

  awk '/File does not exist/ { print $1 }' /var/log/apache2/error.log* | sort -k1n | uniq -d -c | awk '$1 > 50 {print $2}' > /tmp/malicious_ips.txt
  

  上述命令会列出访问次数超过50次的IP地址。

使用日志分析工具

• EventLog Analyzer：这是一个智能日志审计系统，可以收集、解析和分析Apache日志，具备先进的威胁检测和实时告警功能。
• GoAccess：这是一个基于Web的实时Web日志分析器，可以生成HTML报告以及JSON和CSV报告，适合分析Apache访问日志。

使用iptables过滤恶意IP

• 创建iptables规则：根据分析出的恶意IP地址，创建iptables规则来阻止这些IP的访问。

  for ip in $(cat /tmp/malicious_ips.txt); do
    iptables -A INPUT -s $ip -j DROP
  done
  

  上述命令会遍历/tmp/malicious_ips.txt文件中的每个IP地址，并将它们添加到iptables的DROP规则中。