Примерно каждые две секунды я получаю:
[Sat Feb 19 19:00:01 2011] [error] [client 69.239.204.217] script '/var/www
/html/forum.php' not found or unable to stat
[Sat Feb 19 19:00:04 2011] [error] [client 69.239.204.217] File does not exist: /var/www/html/404.shtml
..в моем файле / var / log / httpd / error_log.
Иногда запрос будет на forum_asp.php.
Я предполагаю, что это бот, пытающийся получить доступ к небезопасным файлам форума, но я не уверен, так как кажется, что каждый из них является уникальным IP-адресом, а не просто несколькими IP-адресами, попадающими в него последовательно. И результаты IP-адресов whois - это не все классические интернет-провайдеры в России или Китае, это скорее адреса конечного пользователя (comcast и т. Д.).
Любое понимание того, что здесь происходит, будет оценено.
Кроме того, будут оценены любые методы, которые люди используют для «мониторинга в реальном времени» веб-трафика. Прямо сейчас я делаю:
tail -f error_log
Спасибо.
Этот трафик, скорее всего, является кем-то, кто запускает автоматическое сканирование на наличие уязвимостей в вашем сетевом блоке. Если вам нравится писать регулярные выражения, вы можете настроить Fail2Ban для сканирования журналов apache и динамических брандмауэров, чтобы блокировать людей, которые чрезмерно генерируют множество ошибок 404:
http://www.fail2ban.org/wiki/index.php/Apache
Для вашего второго вопроса о мониторинге действующей системы ознакомьтесь с одним или всеми из следующего:
(debian / ubuntu)