Logi jako źródło wiedzy o atakach
Logi serwera zawierają cenne informacje o próbach włamań, skanowaniu podatności i innych atakach. Regularna analiza logów pozwala wykrywać zagrożenia zanim wyrządzą szkody.
Co szukać w logach dostępu?
# Szukaj prób skanowania podatnosci
grep -E "(sqlmap|nikto|nessus|masscan|wpscan)" ~/logs/access_log
# Szukaj prób SQL injection
grep -E "(UNION|SELECT|INSERT|DROP|UPDATE).*=" ~/logs/access_log | head -20
# Szukaj prób bruteforce do wp-login
grep "wp-login.php" ~/logs/access_log | awk '{print $1}' | sort | uniq -c | sort -rn | head -10
# IP z najwieksza liczba zapytan (potencjalny atak)
awk '{print $1}' ~/logs/access_log | sort | uniq -c | sort -rn | head -20Automatyczna analiza przez Fail2ban
Fail2ban automatycznie blokuje IP które wykazują podejrzaną aktywność. Działa domyślnie na serwerach host247.pl.
GoAccess — wizualizacja logów
goaccess ~/logs/access_log -c --log-format=COMBINEDGeneruje interaktywny raport HTML z analizą ruchu i podejrzanych aktywności.
