Introducción
Uno de los puntos más ignorados en la seguridad web es la revisión periódica de los logs del servidor. Apache y Nginx almacenan registros que contienen información crítica sobre accesos, errores y peticiones que pueden revelar intentos de ataque.
En esta guía práctica te mostramos cómo detectar actividad sospechosa en logs de servidor, interpretar los patrones más comunes y aplicar medidas de protección efectivas.
Índice
- 1. Qué tipos de logs debes revisar
- 2. Dónde se encuentran los logs en Apache y Nginx
- 3. Patrones de actividad sospechosa más comunes
- 4. Comandos útiles para analizar logs
- 5. Filtrar por IPs, URLs, errores 404 o POSTs masivos
- 6. Automatizar detección con scripts o fail2ban
- 7. Qué hacer cuando detectas algo anormal
- 8. Conclusión
1. Qué logs debes revisar
access.log– cada petición recibida (IP, URL, método, código HTTP)error.log– errores de servidor, PHP, rutas, etc.- Logs personalizados por CMS, firewall o WAF
2. Ubicaciones típicas
| Servidor | Ruta común |
|---|---|
| Apache | /var/log/apache2/access.log |
| Nginx | /var/log/nginx/access.log |
| Plesk | /var/www/vhosts/DOMINIO/logs/ |
| cPanel | /usr/local/apache/domlogs/ |
3. Actividad sospechosa habitual
- IPs con miles de peticiones por hora
- Accesos a URLs inexistentes (admin.php, config.bak, wp-login.php)
- Errores 404 repetidos desde la misma IP
- POST masivos a formularios o endpoints
- User-agents vacíos o falsos (curl, python)
4. Comandos útiles para análisis
tail -n 500 access.log
grep "wp-login.php" access.log
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head✔️ Con estos puedes ver IPs más activas, rutas más accedidas o errores frecuentes.
5. Filtrar por patrones específicos
- Detectar peticiones sospechosas:
grep -i "wp-login.php\|xmlrpc.php" access.log
grep " 404 " access.log | awk '{print $1}' | sort | uniq -c | sort -nr | headgrep "POST" access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head6. Automatizar alertas o bloqueos
- 🛡️ Configurar fail2ban para bloquear IPs con errores repetidos
- ⚠️ Crear scripts cron que te alerten por email
- 📦 Integrar con sistemas de logs externos (Logwatch, Logrotate, Cloudflare logs)
7. Qué hacer si detectas actividad sospechosa
- 🔒 Bloquear la IP si es reiterativa
- 📄 Reforzar endpoints vulnerables o esconderlos
- 🔧 Activar captcha o doble validación
- 📤 Enviar logs a soporte si usas servidor gestionado
8. Conclusión
Revisar tus logs te da ojos donde normalmente no miras. Es el primer paso para anticiparte a ataques, detectar bots o corregir problemas técnicos antes de que escalen.
📩 ¿Te gustaría que configuremos una monitorización automática de logs o alertas por correo? Escríbenos.