tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more

상위 IP 주소를 살펴보십시오. 어떤 것이 다른 것들보다 두드러지면 방화벽에있는 것일 것입니다.

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

포트 80에 연결된 IP가 있는지 확인하기 위해 현재 활성 연결을 확인합니다. IP 주소가 45 열에서 시작되지 않을 수 있으므로 cut -c 45-를 변경해야 할 수도 있습니다. 귀하의 웹 서버는 이것도 선택합니다.

이 중 어느 것도 표준을 벗어난 IP를 전혀 보여주지 않을 경우, 봇넷이 자신을 공격한다고 가정하고 로그에서 특정 패턴을 찾아서 그들이하는 일을 확인해야합니다. 워드 프레스 사이트에 대한 일반적인 공격은 다음과 같습니다.

GET /index.php? HTTP/1.0

웹 사이트의 액세스 로그를 살펴보면 다음과 같은 작업을 수행 할 수 있습니다.

cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more

가장 많이 사용되는 URL을 보여줍니다. 전체 사이트를로드하지 않고 특정 스크립트를 사용하고 있음을 알 수 있습니다.

cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more

일반적인 UserAgent를 볼 수 있습니다. 공격시 단일 UserAgent를 사용하고있을 수 있습니다.

트릭은 일반 트래픽에 존재하지 않는 공격 트래픽과 공통된 것을 찾은 다음 iptables, mod_rewrite 또는 웹 호스트의 업스트림을 통해 필터링합니다. Slowloris에 부딪 치면 Apache 2.2.15에 reqtimeout 모듈이있어 Slowloris를보다 효과적으로 보호하기 위해 일부 설정을 구성 할 수 있습니다.

답변

netstat -an | grep ESTABLISHED | awk '\''{print $5}'\'' | awk -F: '\''{print $1}'\'' | sort | uniq -c | awk '\''{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'\''

netstat -an|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|awk '{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'