Hola Wecindario, hoy vamos a ver como examinar el archivo de access log desde SSH porque es muy posible que encuentres abuso de IP en concreto que intentan loguearse en tu web o buscar alguna vulnerabilidad.

Aquí veremos algunos comandos que puedes ejecutar a través de SSH para ver la IP que te está atacando.

Los registros se suelen rotar diariamente, así que podría ser que lo que busques este en un acceslog 2 u otro que se haya generado.

Cómo iniciar sesión en el servidor

Para ejecutar los siguientes comandos, primero debes iniciar sesión en tu servidor a través de SSH:

¿Ya tiene los datos de acceso al servidor por SSH? Abre el Putty pon la IP puerto y los datos correctos para poner conectarte correctamente.

Después de loguearte debes acceder al directorio de los logs para ver uno a uno.

Por ejemplo: /logs/dominio.com/http o /logs/dominio.com/https

cd ~/logs/dominio.com/https

Listado de visitas de IP

cat access.log| awk '{print $1}' | sort | uniq -c |sort -n : Este comando muestra una lista de direcciones IP  y el numero de veces veces que llega a un sitio.

tail -10000 access.log| awk '{print $1}' | sort | uniq -c |sort -n : Genera una lista con  los últimos 10,000 accesos a un sitio.

host xx.xx.xx.xx xx.xx.xx.66.in-addr.arpa domain name pointer crawl-xx-xx-xx-xx.googlebot.com : El comando 'host' determina la compañía de hosting desde la cual una IP específica está golpeando un sitio. En este ejemplo, la IP pertenece a Google.

tail -f -q access.log, Mira los registros en tiempo real.

Listado de archivos, carpetas y dominios principales

awk '{print $7}' access.log | cut -d? -f1|sort|uniq -c|sort -nk1|tail -n10 : Muestra el listado de archivos mas solicitados.

for k in `ls -S */https/access.log`; do wc -l $k | sort -r -n; done : te enseña una lista delos dominios listados bajo un usuario específico.

Todo esto se hace mediante SSH y  en el directorio directorio /logs/.

Usuarios SHELL - Servidor Dedicado

for k in `ls -S /home/*/logs/*/https/access.log`; do wc -l $k | sort -r -n; done : Muestra el tráfico bajo el mismo usuario Shell.
tail -f -q /home/*/logs/*/https/access.log : Mira los registros de tu servidor a tiempo real.

Administrar usuarios en tu Servidor Dedicado

Estos comandos solo serviran si eres root y admin de la máquina.

Siendo root como veo los logs

Después de iniciar sesión como usuario 'root',  ejecuta esto para ver los registros.

for k in `ls -S /home/*/logs/*/https/access.log`; do wc -l $k | sort -r -n; done : Muestra una lista del tráfico para todos los dominios de tu servidor.

tail -f -q /home/*/logs/*/https/access.log :  Aquí veras los registros a tiempo real.

Solución de problemas

Si ves estos errores: No such file or directory, es por que estas ejecutando el comando como un usuario SFTP. Y debes ser root de la máquina.
¡Esto es todo Wecindario, hasta la próxima!

Accede a más contenido

En Hoswedaje, te ofrecemos más contenido para que puedas aprender en todo lo que te interese. Un artículo sería cómo realizar la activación de SSL y contenido mixto para poder solucinarlo. Por otro lado, te dejamos otra entrada sobre las ciberamenazas que te puedes encontrar en un dominio. Para cualquier consulta, contáctenos y le ayudaremos con la mayor brevedad posible.

ip publica Conoce cómo realizar una activación de SSL y contenido mixto y cómo solucionarlo, leyendo este artículo.

ip publica Descubre todo lo relacionado a las ciberamenazas que puedes encontrarte en un dominio, pinchando en este enlace.