¡Truco del almendruco por excelencia! Empezamos el año con un truco para poder visualizar las direcciones IP únicas que aparecen en nuestros registros de acceso de tanto Apache como Nginx.

A veces nuestros sistemas de monitorización pueden informarnos de que un servidor puede estar consumiendo muchos recursos y cuando entramos al servidor para revisar que puede estar pasando, observamos que quizás estamos recibiendo muchas peticiones en una web concreta.

Para tal de poder determinar si es legitimas o no, podemos utilizar este comando que nos listará el access.log para ordenar y contar cuantas IP aparecen y cuantas peticiones ha realizado cada IP:

cat access.log | awk '{print $1}' | sort -n | uniq -c | sort -n

Este comando nos dará un resultado parecido a este:

   4127 80.76.XXX.XXX
   4699 5.62.XXX.XXX
   4945 5.62.XXX.XXX
   5952 XXX.XX.XXX.XXX
   6679 185.99.XXX.XXX
  11192 102.37.XXX.XXX

Por ejemplo, en este caso, la IP 102.37.XXX.XXX ha realizado más de 11K peticiones en una web, revisando el log, son todo peticiones a wp-login. En este caso sería recomendable activar Fail2Ban para bloquear este tipo de ataques:

Configurar Fail2Ban para proteger WordPress de ataques

Existen varias situaciones por las que tendremos que proteger nuestro WordPress de ataques externos. En su mayoría estos ataques se tratan de BotNets que merodean por Internet.

_ voidNullDon T3rr0rZ0n3