¡Truco del almendruco por excelencia! Empezamos el año con un truco para poder visualizar las direcciones IP únicas que aparecen en nuestros registros de acceso de tanto Apache como Nginx.
A veces nuestros sistemas de monitorización pueden informarnos de que un servidor puede estar consumiendo muchos recursos y cuando entramos al servidor para revisar que puede estar pasando, observamos que quizás estamos recibiendo muchas peticiones en una web concreta.
Para tal de poder determinar si es legitimas o no, podemos utilizar este comando que nos listará el access.log
para ordenar y contar cuantas IP aparecen y cuantas peticiones ha realizado cada IP:
cat access.log | awk '{print $1}' | sort -n | uniq -c | sort -n
Este comando nos dará un resultado parecido a este:
4127 80.76.XXX.XXX
4699 5.62.XXX.XXX
4945 5.62.XXX.XXX
5952 XXX.XX.XXX.XXX
6679 185.99.XXX.XXX
11192 102.37.XXX.XXX
Por ejemplo, en este caso, la IP 102.37.XXX.XXX
ha realizado más de 11K peticiones en una web, revisando el log, son todo peticiones a wp-login
. En este caso sería recomendable activar Fail2Ban para bloquear este tipo de ataques:

Comentarios