用下面 5 行命令先扫一遍,高频 IP、怪 UA、异常状态码、凌晨 burst 全现形。发现异常就 iptables / 防火墙 立即封,日常再把统计脚本定时跑,恶意访问就无处藏身。
一. 高频 IP(TOP 20)
awk '{print $1}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr | head -20
同一 IP 上千次且 UA 异常 → 大概率采集/CC。
确认ip是否恶意:
① 看状态码分布
for ip in 175.6.228.253 182.92.23.82 27.46.69.5; do
echo === $ip ===
awk -v ip=$ip '($1==ip){print $9}' /www/wwwlogs/yuming.cn.log | sort | uniq -c
done
-
90 % 200 → 内容被完整拉走,高采;
-
90 % 404 / 403 → 被拦了,攻击;
-
50 % 302 → 可能在刷登录、接口。
② 看 UA
awk -v ip=175.6.228.253 '($1==ip){ua=$0; gsub(/.*"/,"",ua); gsub(/".*/,"",ua); print ua}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr | head -3
出现
-
空 UA / python-requests / Go-http-client → 实锤采集。
-
正常浏览器 UA 但 1 秒 10 次 → 私有并发爬。
③ 看路径
awk -v ip=175.6.228.253 '($1==ip){print $7}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr | head -10
-
清一色
/page/xxxx且 数字连续 → 深度翻页采集; -
出现
/wp-admin、/config、/.env→ 扫描爆破。
二. 高频 UA(扫库/爆破特征)
awk -F'"' '{print $6}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr | head -20
-
出现 sqlmap/、masscan、empty、Mozilla/5.0-attack 之类 → 立即封 IP。
三. 异常状态码监控
awk '($9 >= 400){print $9,$7}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr
-
403 暴增多 → 说明拦截生效;
-
502/504 集中 → 后端被刷爆;
-
404 排名前缀固定 → 有人在扫后台 /admin、/config.php 等。
四. 深夜/清晨秒级请求(慢速 CC)
awk '$4 >= "[13/Nov/2025:00:00:00" && $4 <= "[13/Nov/2025:06:00:00" {print $4,$1,$7}' /www/wwwlogs/yuming.cn.log | awk -F: '{print $1":"$2}' | uniq -c | sort -nr | head -20
-
凌晨几点还 每秒 10+ 次 → 慢速 CC,需降低 CC 阈值或拉黑 IP。
再往下钻一层 —— 04 点到底是谁
awk '$4 >= "[13/Nov/2025:04:00:00" && $4 <= "[13/Nov/2025:04:59:59" {print $1}' /www/wwwlogs/yuming.cn.log | sort | uniq -c | sort -nr | head -10
五. 实时暴力监控
# 看正在发生的 404/403/500
tail -f /www/wwwlogs/yuming.cn.log | awk '($9 >= 400){print $9,$1,$7}'
出现 连续 404 + 同一 IP → 立刻用防火墙拉黑。
.png)
.jpg)
.png)
.png)
.png)
.png)
评论前必须登录!
注册