Os logs brutos ajudam a identificar acessos suspeitos porque mostram os detalhes técnicos das requisições feitas ao site, como IP, horário, URL, método, status e agente do cliente.
Na prática, isso permite detectar varreduras automatizadas, tentativas repetidas, acessos a arquivos sensíveis, picos anormais e outros comportamentos que merecem investigação.
Como acessar o cPanel
Antes de identificar acessos suspeitos, baixe o log em:
- https://seudominio.com.br/cpanel
- https://seudominio.com.br:2083
- área do cliente MyWay, no atalho do cPanel
Depois, acesse Métricas > Relatório de acesso bruto para baixar o arquivo do domínio desejado.
Como identificar acessos suspeitos pelos logs brutos
O que pode ser considerado suspeito
Nem todo acesso diferente é malicioso, mas alguns padrões costumam chamar atenção e merecem análise.
- muitas requisições em curto intervalo
- tentativas de acessar arquivos que não existem
- busca por arquivos comuns em invasões
- erros repetidos em áreas sensíveis
- acessos automatizados com comportamento incomum
O objetivo não é “adivinhar” um ataque, mas reconhecer padrões que fogem do uso normal do site.
Passo 1 – Procurar repetição exagerada do mesmo IP
Um único IP gerando muitas requisições em pouco tempo pode indicar bot, scanner, força bruta ou monitoramento agressivo.
- mesma origem em sequência rápida
- várias URLs testadas em poucos segundos
- repetição insistente após erros
Um IP muito ativo nem sempre é malicioso, mas é um forte sinal para investigação, principalmente quando combinado com outros indícios.
Passo 2 – Observar requisições para URLs incomuns
Algumas tentativas chamam atenção porque fogem completamente do conteúdo normal do site.
- arquivos administrativos inexistentes
- scripts conhecidos de exploração
- rotas típicas de CMS que o site nem usa
- nomes de arquivos sensíveis ou de backup
Quando alguém tenta acessar caminhos estranhos, isso pode indicar varredura automática em busca de brechas conhecidas.
Passo 3 – Analisar muitos erros 404
Muitos 404 em sequência podem indicar tentativa de descobrir arquivos, diretórios ou rotas vulneráveis.
- várias páginas inexistentes em sequência
- nomes de arquivos padronizados de ataque
- repetição por vários caminhos similares
Em muitos casos, o excesso de 404 é um dos sinais mais visíveis de varredura automatizada.
Passo 4 – Analisar respostas 403
Respostas 403 podem indicar que o servidor bloqueou acessos por permissão, regra de segurança ou proteção.
- tentativa de acesso a diretórios protegidos
- bloqueios gerados por regra de segurança
- requisições que chegaram, mas não foram autorizadas
Uma sequência de 403 pode mostrar que houve tentativa real de acesso a algo que o servidor decidiu negar.
Passo 5 – Verificar o agente do cliente
O user agent ajuda a diferenciar um navegador normal de um bot, crawler, script automatizado ou ferramenta suspeita.
- agentes conhecidos de navegadores comuns
- bots legítimos de indexação
- agentes incompletos, estranhos ou genéricos
- ferramentas automatizadas de teste
O agente, sozinho, não prova má intenção, mas ajuda muito a contextualizar o acesso.
Passo 6 – Cruzar horário, IP e URL
A melhor forma de identificar suspeita real é cruzar vários sinais ao mesmo tempo.
Exemplo de combinação suspeita:
- mesmo IP
- muitas requisições em poucos segundos
- várias URLs incomuns
- muitos 404 ou 403
- agente estranho ou automatizado
Quando vários indícios aparecem juntos, o grau de suspeita cresce bastante.
O que não deve ser interpretado errado
- bots legítimos de busca podem gerar bastante acesso
- monitoramentos automáticos podem repetir requisições
- plugins, apps ou APIs podem produzir padrões repetitivos válidos
- redirecionamentos e testes técnicos podem parecer incomuns sem ser problema
O log precisa ser analisado com contexto. Nem todo volume alto ou repetição significa ataque.
O que fazer depois de identificar um padrão suspeito
- guardar uma cópia do log original
- anotar IPs, horários e URLs envolvidas
- verificar regras de firewall ou segurança
- conferir se houve impacto no site
- avaliar bloqueio, mitigação ou investigação adicional
Evite agir apenas por impressão. O ideal é sempre registrar os indícios antes de aplicar bloqueios ou mudanças.
Resultado esperado
Ao final, você deverá conseguir separar acessos aparentemente normais de padrões que merecem investigação técnica mais profunda.
- IPs suspeitos identificados
- URLs incomuns detectadas
- erros repetidos reconhecidos
- padrões automatizados observados
Isso melhora muito a capacidade de resposta diante de tráfego indevido, varreduras e comportamentos anormais.
Resumo
Para identificar acessos suspeitos pelos logs brutos:
1. Baixe o log do domínio
2. Procure IPs com atividade excessiva
3. Verifique URLs estranhas ou sensíveis
4. Analise muitos 404 e 403
5. Confira o agente do cliente
6. Cruze horário, IP e URL para confirmar o padrão
Na prática, a suspeita aumenta quando vários sinais anormais aparecem juntos.
1. Baixe o log do domínio
2. Procure IPs com atividade excessiva
3. Verifique URLs estranhas ou sensíveis
4. Analise muitos 404 e 403
5. Confira o agente do cliente
6. Cruze horário, IP e URL para confirmar o padrão
Na prática, a suspeita aumenta quando vários sinais anormais aparecem juntos.
Se houver dúvida sobre a gravidade do padrão encontrado, o ideal é tratar o log como evidência e aprofundar a investigação com suporte técnico.
Atenciosamente,
MyWay Hosting
Servidores Otimizados por inteligência artificial
www.myway.com.br
