Hola Wecindario, hoy vamos a ver como examinar el archivo de access log desde SSH porque es muy posible que encuentres abuso de IP en concreto que intentan loguearse en tu web o buscar alguna vulnerabilidad.
Aquí veremos algunos comandos que puedes ejecutar a través de SSH para ver la IP que te está atacando.
Los registros se suelen rotar diariamente, así que podría ser que lo que busques este en un acceslog 2 u otro que se haya generado.
Índice de contenidos
Cómo iniciar sesión en el servidor
Para ejecutar los siguientes comandos, primero debes iniciar sesión en tu servidor a través de SSH:
¿Ya tiene los datos de acceso al servidor por SSH? Abre el Putty pon la IP puerto y los datos correctos para poner conectarte correctamente.
Después de loguearte debes acceder al directorio de los logs para ver uno a uno.
Por ejemplo: /logs/dominio.com/http o /logs/dominio.com/https
cd ~/logs/dominio.com/https
Listado de visitas de IP
cat access.log| awk '{print $1}' | sort | uniq -c |sort -n : Este comando muestra una lista de direcciones IP y el numero de veces veces que llega a un sitio.
tail -10000 access.log| awk '{print $1}' | sort | uniq -c |sort -n : Genera una lista con los últimos 10,000 accesos a un sitio.
host xx.xx.xx.xx xx.xx.xx.66.in-addr.arpa domain name pointer crawl-xx-xx-xx-xx.googlebot.com : El comando 'host' determina la compañía de hosting desde la cual una IP específica está golpeando un sitio. En este ejemplo, la IP pertenece a Google.
tail -f -q access.log, Mira los registros en tiempo real.
Listado de archivos, carpetas y dominios principales
awk '{print $7}' access.log | cut -d? -f1|sort|uniq -c|sort -nk1|tail -n10 : Muestra el listado de archivos mas solicitados.
for k in `ls -S */https/access.log`; do wc -l $k | sort -r -n; done : te enseña una lista delos dominios listados bajo un usuario específico.
Todo esto se hace mediante SSH y en el directorio directorio /logs/.
Usuarios SHELL - Servidor Dedicado
for k in `ls -S /home/*/logs/*/https/access.log`; do wc -l $k | sort -r -n; done : Muestra el tráfico bajo el mismo usuario Shell.
tail -f -q /home/*/logs/*/https/access.log : Mira los registros de tu servidor a tiempo real.
Administrar usuarios en tu Servidor Dedicado
Estos comandos solo serviran si eres root y admin de la máquina.
Siendo root como veo los logs
Después de iniciar sesión como usuario 'root', ejecuta esto para ver los registros.
for k in `ls -S /home/*/logs/*/https/access.log`; do wc -l $k | sort -r -n; done : Muestra una lista del tráfico para todos los dominios de tu servidor.
tail -f -q /home/*/logs/*/https/access.log : Aquí veras los registros a tiempo real.
Solución de problemas
Accede a más contenido
En Hoswedaje, te ofrecemos más contenido para que puedas aprender en todo lo que te interese. Un artículo sería cómo realizar la activación de SSL y contenido mixto para poder solucinarlo. Por otro lado, te dejamos otra entrada sobre las ciberamenazas que te puedes encontrar en un dominio. Para cualquier consulta, contáctenos y le ayudaremos con la mayor brevedad posible.
Conoce cómo realizar una activación de SSL y contenido mixto y cómo solucionarlo, leyendo este artículo.
Descubre todo lo relacionado a las ciberamenazas que puedes encontrarte en un dominio, pinchando en este enlace.