tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more
Veja os principais endereços IP. Se algum se destacar dos outros, esses seriam os que protegem.
netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more
Isto irá olhar para as conexões atualmente ativas para ver se existem IPs conectando-se à porta 80. Você pode precisar alterar o corte -c 45- como o endereço IP pode não iniciar na coluna 45. Se alguém estava fazendo uma UDP inundar o seu servidor web, isso também o pegaria.
Se a chance de que nenhum deles mostre IPs excessivamente fora do normal, você precisaria assumir que você tem uma botnet atacando você e precisaria procurar padrões específicos nos logs para ver o que eles são. fazendo. Um ataque comum contra sites wordpress é:
GET /index.php? HTTP/1.0
Se você examinar os registros de acesso do seu website, poderá fazer algo como:
cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more
, que mostra os URLs mais comuns. Você pode achar que eles estão atingindo um script específico em vez de carregar o site inteiro.
cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more
permitiria ver UserAgents comuns. É possível que eles estejam usando um único UserAgent em seu ataque.
O truque é encontrar algo em comum com o tráfego de ataque que não existe em seu tráfego normal e depois filtrá-lo através de iptables, mod_rewrite ou upstream com seu webhost. Se você está sendo atingido por Slowloris, o Apache 2.2.15 agora tem o módulo reqtimeout que permite que você configure algumas configurações para melhor proteger contra o Slowloris.