通过Nginx日志找出网站被攻击的痕迹，可以按照以下步骤进行：

1. 收集日志：

   • 确保Nginx配置了详细的访问日志和错误日志。
   • 日志文件通常位于/var/log/nginx/目录下，常见的日志文件名包括access.log和error.log。

2. 分析日志：

   • 使用文本编辑器或日志分析工具（如grep, awk, sed, logwatch, ELK Stack等）来查看和分析日志文件。

3. 查找异常访问：

   • 查找短时间内大量请求的IP地址，这些可能是攻击者尝试暴力破解密码或进行DDoS攻击。
   • 注意查看请求的URL，是否有异常的请求路径或参数。
   • 检查HTTP状态码，如404（未找到）、500（服务器内部错误）等，这些可能是攻击者尝试利用漏洞。

4. 检查请求头：

   • 查看请求头中的User-Agent字段，异常的或未知的User-Agent可能是攻击者使用的自动化工具。
   • 检查Referer字段，看是否有来自可疑网站的请求。

5. 分析日志模式：

   • 使用正则表达式或其他模式匹配工具来识别日志中的异常模式。
   • 例如，可以查找连续的失败登录尝试，或者短时间内大量相同的请求。

6. 监控和警报：

   • 设置监控系统来实时监控Nginx日志，一旦检测到异常行为立即触发警报。
   • 可以使用开源工具如Fail2Ban来自动封禁可疑IP地址。

7. 日志轮转和备份：

   • 定期轮转日志文件，避免日志文件过大影响性能。
   • 定期备份日志文件，以便在需要时进行分析。

8. 安全加固：

   • 根据分析结果，对Nginx配置进行安全加固，如限制请求速率、启用防火墙规则等。
   • 更新系统和应用程序，修补已知的安全漏洞。

9. 使用专业工具：

   • 考虑使用专业的安全信息和事件管理（SIEM）系统来帮助分析和响应安全事件。

10. 记录和分析：

    • 记录所有的分析和响应措施，以便未来参考和改进安全策略。

通过上述步骤，你可以从Nginx日志中找出网站被攻击的痕迹，并采取相应的措施来保护你的网站。记得定期审查和更新你的安全策略，以应对不断变化的网络威胁。