C'è un server OpenBSD (64 bit; 5.5) con nginx (HTTP / HTTPS) e SMTP (OpenSMTP).
Domanda: quali sono le migliori pratiche per rilevare attività sospette? Ci sono degli script che mostrano attività interessanti dai log o da qualche parte? Attacchi, DDOS, qualsiasi attività anormale?
Esempio di rilevamento di indirizzi IP collegati troppe volte: dos.awk
function max(arr, big) {
big = 0;
for (i in cat) {
if (cat[i] > big) { big=cat[i]; }
}
return big
}
NF > 0 {
cat[$1]++;
}
END {
maxm = max(cat);
for (i in cat) {
scaled = 60 * cat[i] / maxm;
printf "%-25.25s [%8d]:", i, cat[i]
for (i=0; i<scaled; i++) {
printf "#";
}
printf "\n";
}
}
Come si usa:
tail -n 1000 /var/www/logs/access.log | awk -f dos.awk | sort -nrk3 | less