Hay un servidor OpenBSD (64 bits; 5.5) que tiene nginx (HTTP / HTTPS) y SMTP (OpenSMTP).
Pregunta: ¿Cuáles son las mejores prácticas para detectar actividades sospechosas? ¿Hay algún script que muestre una actividad interesante de los registros o en algún lugar? Ataques, DDOS, ¿alguna actividad anormal?
Ejemplo para detectar direcciones IP que se conectaron demasiadas veces: dos.awk
function max(arr, big) {
big = 0;
for (i in cat) {
if (cat[i] > big) { big=cat[i]; }
}
return big
}
NF > 0 {
cat[$1]++;
}
END {
maxm = max(cat);
for (i in cat) {
scaled = 60 * cat[i] / maxm;
printf "%-25.25s [%8d]:", i, cat[i]
for (i=0; i<scaled; i++) {
printf "#";
}
printf "\n";
}
}
Cómo usarlo:
tail -n 1000 /var/www/logs/access.log | awk -f dos.awk | sort -nrk3 | less