Debian Apache日志中如何查找恶意访问 - 问答

在Debian系统上，Apache日志文件通常位于/var/log/apache2/目录下，包括access.log和error.log。要查找恶意访问，可以采取以下几种方法：

查看访问日志：使用cat命令查看完整的访问日志文件。
```
cat /var/log/apache2/access.log
```
实时监控访问日志：使用tail -f命令实时查看日志文件的变化。
```
tail -f /var/log/apache2/access.log
```
查找特定关键字：使用grep命令查找特定的关键字或模式，例如查找错误信息。
```
grep "error" /var/log/apache2/error.log
```
统计IP访问次数：使用awk、sort和uniq等命令统计每个IP地址的访问次数。
```
cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr
```

查找恶意IP：通过分析错误日志中的“File does not exist”错误来查找恶意IP。

awk '/File does not exist/ { print $1 }' /var/log/apache2/error.log* | sort -k1n | uniq -d -c | awk '$1 > 50 {print $2}' > /tmp/malicious_ips.txt

上述命令会列出访问次数超过50次的IP地址。

创建iptables规则：根据分析出的恶意IP地址，创建iptables规则来阻止这些IP的访问。
```
for ip in $(cat /tmp/malicious_ips.txt); do
  iptables -A INPUT -s $ip -j DROP
done
```
上述命令会遍历/tmp/malicious_ips.txt文件中的每个IP地址，并将它们添加到iptables的DROP规则中。

0 赞

0 踩