Что является различием для серверов DNS, если существует www субдомен

tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more

Смотрите на главные IP-адреса. Если бы кто-либо стоит из других, это были бы те к брандмауэру.

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

Это посмотрит на в настоящее время активные соединения, чтобы видеть, существует ли какой-либо дюйм/с, соединяющийся с портом 80. Вы, возможно, должны были бы изменить сокращение-c 45-, поскольку IP-адрес не может запуститься в столбце 45. Если бы кто-то делал лавинную рассылку UDP к Вашему веб-серверу, то это взяло бы его также.

На всякий случай то, что ни один из них не показывает дюйм/с, которые являются чрезмерно вне нормы, необходимо было бы предположить, что Вы имеете ботнет, нападая на Вас и должны были бы искать конкретные шаблоны в журналах для наблюдения то, что они делают. Общее нападение на сайты Wordpress:

GET /index.php? HTTP/1.0

При просмотре журналов доступа для веб-сайта Вы смогли делать что-то как:

cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more

который показал бы Вам обычно URL хита. Вы могли бы найти, что они поражают конкретный сценарий вместо того, чтобы загрузить весь сайт.

cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more

позволил бы Вам видеть общий UserAgents. Возможно, что они используют единственный UserAgent в своем нападении.

Прием должен найти что-то общее с трафиком атаки, который не существует в Вашем обычном трафике и затем пропускает это через iptables, mod_rewrite или в восходящем направлении с Вашим webhost. Если Вы становитесь пораженными Slowloris, Apache 2.2.15 теперь имеет reqtimeout модуль, который позволяет Вам настраивать некоторые настройки для лучше защиты от Slowloris.