Анализ журналов сервера
WebWatchBot (www.webwatchbot.com) является другой опцией для тех, которые желают контролировать опыт конечного пользователя через контроль транзакции (хороший для того, чтобы следить за временем отклика) и отдельные компоненты инфраструктуры той, которая разъединяет и базы данных. Мы были все укушены сервером, который обнаруживается, в то время как приложение подвешивается. Комбинация транзакции и контроля компонента предотвращает это и ускоряет поиск и устранение неисправностей. Бесплатная демонстрационная версия и про версия по умеренной цене, которая легко масштабируется к уровню предприятия.
cat access_log | awk '{print $1}' | sort | uniq -c |sort -g
должен произвести заказанный список IP-адресов, которые поражают Ваш сайт, первый столбец будет количеством хитов, второе IP.
Вам, возможно, придется изменить значение 1$, это - положение поля IP-адреса в строке файла журнала. На моем веб-сервере ее первое следовательно 1$, иначе поле определяется, как 'разделено пробелом', таким образом, следующая запись составляет 2$ и т.д.
По моему скромному мнению, необходимо скорее провести время, фиксируя веб-сайт, затем Вы не должны будете сканировать свои файлы журнала все время..
AWStats или Webalizer являются известным журналом веб-сервера-> статистические инструменты, возможно, Вы могли вытащить некоторое использование из этого.
-
1Даже лучшее сделало websites' вход потребности и журналы должны быть проанализированы. Если Вы don' t знают как к ' read' Ваши журналы, это просто побеждает purpoise. – M.N 24 August 2009 в 11:02
Я не знаю то, что веб-сайт "среднего размера" для Вас. Но если это является достаточно большим, чтобы иметь DB и веб-сервер на двух различных серверах затем, Вы могли использовать брандмауэр базы данных как, например, GreenSQL. Это даст Вам еще некоторую информацию, как они хотят сделать это. Но Вам все еще будет нужен журнал http анализатор для обнаружения, где они нападают (Что формируется, они пытаются неправильно использовать).
При использовании апача можно хотеть изучить реализацию mod_security (http://modsecurity.org/) - это может обеспечить уровень защиты против некоторых видов нападений, даже если расположенное ниже приложение уязвимо. Это не ловит все, но может помочь в ситуации, где Вы не обязательно управляете кодом, Вы работаете.
Вот несколько подобный вопрос, который я недавно задал, что это может иметь решение для Вас:
В новинку для Сервера Ubuntu, который регистрируется для контроля и что сделать
Существует много свободного журнала анализаторы, которые все скажут Вам ту же информацию. Сделайте поиск Google, тест-драйв некоторые, и посмотрите то, что Вы любите.
Я не думаю, что прекратил бы создавать резервную копию сайта. У Вас должны всегда быть резервные копии вокруг. Слишком много вещей могут произойти, который мог потребовать тех резервных копий.
Так, проверьте журналы, сделайте резервные копии, сохраните свою систему исправленной, используйте сильные пароли, брандмауэр (кто-то недавно рекомендовал и т.д...
Я уверен, что Вы получите некоторый хороший совет здесь.
-
1Я думаю, что корреспондент ищет более определенную рекомендацию, чем Ваше предложение поиска Google. Есть ли какой-либо журнал анализаторы, что у Вас есть некоторый опыт с, и который Вы рекомендовали бы? – DOK 23 August 2009 в 21:44
Даже если бы Вы действительно находите записи, принадлежащие деточкам сценария, я сомневаюсь, что это помогло бы Вам делать с этим что-либо. Вы не можете только заблокировать их путем блокирования тех IP-адресов. Большинству людей присвоил динамические IP-адреса их ISP.
Кроме того, мог зарегистрироваться, файлы не могли показать Вам всем нападения. Например, что относительно грубой силы SSH входят в попытки?
IMO единственный нормальный подход для Вашей проблемы пытается зафиксировать столько дефектов безопасности, сколько Вы можете с разумным усилием и имеющими резервными копиями в случае крайней необходимости.
-
1В большинстве случаев, they' ll не быть людьми непосредственно в конце этих нападений (если они, и they' ре умные, you' ll всегда проигрывают в конце). They' ll быть автоматизированными, и направляемый на цели, выбранные из-за сканирования для программного обеспечения, они нападают, или иногда даже наугад. Если they' ре, вызывающее проблему производительности, затем, Вы могли обратиться к блоку на лету, или Вы могли попытаться реализовать некоторую форму ограничения скорости это wouldn' t влияют на реальных пользователей. – jrg 24 August 2009 в 13:44
-
2Я знаю об этих видах нападений, я на самом деле установил что-то вроде этого для нашего сервера ЛАМПЫ. Однако, it' s только очень ограниченная контрмера. Эффективность зависит очень от того, сколько соединений на пользователя Вы позволяете, и необходимо установить threshhold относительно высоко так, чтобы Вы don' t наказывают хорошие клиенты, которые просто используют много потоков для запроса Вашей веб-страницы. Так или иначе он просил средства защитить его веб-сайт от нападений, таких как удаление его базы данных. Вы can' t предотвращают тех, которые путем анализа журналов сервера. – Adrian Grigore 25 August 2009 в 11:31
-
3Я понимаю что you' ре, говорящее о. Я don' t на самом деле полный решимости для блокирования IP-адресов но я думал it' s хорошая идея определить who' s проблема прежде, чем решить, что действие взять. Однако причина, которую я спросил, состояла в том, потому что я знаю, что основная проблема от попытки использовать формы и такой. – waiwai933 25 August 2009 в 14:15