Cómo Analizar el access.log para Detectar Posibles Ataques a tu Servidor Web - Iespai
Categorías: Guias de linux

Cómo Analizar el access.log para Detectar Posibles Ataques a tu Servidor Web

Introducción:
La seguridad de un servidor web es una preocupación crítica para cualquier propietario de un sitio web. Uno de los primeros pasos para proteger tu servidor es monitorear el archivo «access.log», que registra todas las solicitudes de acceso a tu sitio web. A través del análisis de este archivo, puedes identificar posibles ataques y tomar medidas preventivas. En este artículo, te mostraremos cómo analizar el «access.log» para detectar señales de un ataque.

Paso 1: Accede al archivo «access.log»

cat /var/log/apache2/access.log

Salida ejemplo:

192.168.1.100 - - [18/Sep/2023:15:25:36 +0000] "GET /page1.html HTTP/1.1" 200 1200
192.168.1.101 - - [18/Sep/2023:15:26:12 +0000] "GET /page2.html HTTP/1.1" 404 404
192.168.1.102 - - [18/Sep/2023:15:27:01 +0000] "POST /login.php HTTP/1.1" 403 403
...

Paso 2: Identifica patrones anómalos

  • Muchas solicitudes en un corto período de tiempo:
awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr

Salida ejemplo:

   100 192.168.1.100
    50 192.168.1.101
    30 192.168.1.102
...
  • Solicitudes a URLs sospechosas:
awk '$9 ~ /(404|403)/ {print $7}' /var/log/apache2/access.log | sort | uniq -c | sort -nr

Salida ejemplo:

   50 /page2.html
   30 /admin.php
   20 /wp-login.php
...
  • Solicitudes con cadenas de consulta extrañas:
awk -F\" '$2 ~ /(SELECT|UNION|INSERT|UPDATE|DELETE)/ {print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr

Salida ejemplo:

   10 192.168.1.100
    5 192.168.1.101
    3 192.168.1.102
...

Paso 3: Identifica direcciones IP sospechosas

awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -nr

Salida ejemplo:

   100 192.168.1.100
    50 192.168.1.101
    30 192.168.1.102
...

Paso 4: Toma medidas

Una vez que hayas identificado direcciones IP sospechosas, puedes tomar medidas para proteger tu servidor, como bloquear esas direcciones IP mediante un firewall o ajustando la configuración de seguridad de tu servidor web. La salida específica de este paso variará según las acciones que tomes para mitigar las amenazas detectadas.

Oscar Lastera Sanchez

Publicado por
Oscar Lastera Sanchez
Etiquetas: awkComandos linuxEncontrar archivos en LinuxGuias de linuxLinux
2 años hace

Entradas recientes

5 años de revolución digital: cómo la tecnología está redefiniendo nuestra sociedad

🌐 La evolución de la digitalización global: 2019-2024 En tan solo cinco años, el mundo…

17 horas hace

Redefiniendo la Ética de las Máquinas: Asimov y Kant Frente a la Inteligencia Artificial

La ciencia ficción ha sido, a lo largo del tiempo, un campo fértil para la…

2 semanas hace

Di adéu a les notificacions! Assegura’t que els teus certificats TLS es renovin automàticament

Let's Encrypt ha estat una peça clau en la seguretat web en oferir certificats TLS…

2 semanas hace

Guía para Instalar una Máquina Virtual en VirtualBox y Configurar un Servidor LAMP

En esta guía te explicaremos paso a paso cómo instalar una máquina virtual en VirtualBox…

2 semanas hace

¡Los Bloqueadores Están Declarando la Guerra a Bit.ly! Descubre Por Qué Tus Enlaces Están en Peligro

Los acortadores de URL, como bit.ly, se han convertido en herramientas esenciales para simplificar y…

3 semanas hace

Guía Completa para el Mantenimiento de Postfix

Postfix es uno de los servidores de correo más populares y robustos en el mundo…

2 meses hace

Esta web usa cookies.