Posso rilevare gli attacchi delle app Web visualizzando il mio file di registro Apache? [chiuso]

24

Di tanto in tanto chiedo ai clienti di chiedere se guardo il loro file access_log per determinare se eventuali attacchi web hanno avuto successo. Quali strumenti sono utili per discernere gli attacchi?

    
posta Tate Hansen 12.11.2010 - 01:36
fonte

8 risposte

15

Sì, è possibile, il registro apache fornisce informazioni sulle persone che hanno visitato il tuo sito web, inclusi bot e spider. modelli che puoi controllare:

  • qualcuno ha fatto più richieste in meno di secondi o intervalli di tempo accettati.
  • accede a una pagina sicura o di accesso più volte in una finestra di un minuto.
  • accede a pagine inesistenti utilizzando parametri di ricerca o percorsi diversi.

Il file link di apache scalp è molto efficace nel fare tutto quanto sopra

    
risposta data 12.11.2010 - 01:40
fonte
5

L'analisi del registro non coprirà tutti gli attacchi. Ad esempio, non vedrai attacchi passati attraverso le richieste POST. Come misura di protezione aggiuntiva può servire IDS / IPS.

    
risposta data 12.11.2010 - 01:47
fonte
5

Come osservato da Ams, l'analisi dei registri non coprirà tutti gli attacchi e non vedrai i parametri delle richieste POST. Tuttavia, analizzare i log per le richieste POST a volte è molto gratificante.

In particolare, i POST sono popolari per l'invio di codice dannoso agli script backdoor. Tali backdoor possono essere creati da qualche parte nelle sottodirectory o un codice backdoor può essere iniettato in un file legittimo. Se il tuo sito non è sotto controllo di versione o altro controllo di integrità, potrebbe essere difficile individuare tali script backdoor.

Ecco il trucco:

  1. Scansiona i log di accesso per POST richiedere e compilare un elenco di file richiesti Su siti regolari, non dovrebbero essercene molti.
  2. Controllare quei file per l'integrità e legittimità. Questo sarà il tuo bianco elenco.
  3. Ora esegui regolarmente la scansione dei tuoi registri per la richiesta POST e confrontare file richiesti con la tua lista bianca (inutile dire che dovresti automatizza questo processo). Qualche notizia il file dovrebbe essere investigato Se è così è legittimo - aggiungilo al lista bianca. In caso contrario, indagare sul problema.

In questo modo sarete in grado di rilevare in modo efficiente la richiesta POST sospetta su file che normalmente non accettano richieste POST (codice backdoor iniettato) e file backdoor appena creati. Se sei fortunato, puoi utilizzare l'indirizzo IP di tali richieste per identificare il punto di penetrazione iniziale o puoi semplicemente controllare il registro in quel momento per attività sospette.

    
risposta data 22.11.2010 - 17:28
fonte
5

mod_sec è in grado di rilevare qualsiasi cosa, compresa l'ispezione delle richieste POST.

Potresti anche caricare le regole degli snort id e bloccare queste richieste al volo prima che colpiscano le applicazioni

    
risposta data 22.12.2010 - 13:02
fonte
4

apache-scalp può controllare gli attacchi via HTTP / GET:

"Scalp! è un analizzatore di log per il server Web Apache che mira a cercare problemi di sicurezza.L'idea principale è di guardare attraverso enormi file di log ed estrarre i possibili attacchi che sono stati inviati tramite HTTP / GET"

    
risposta data 12.11.2010 - 01:38
fonte
4

Controlla WebForensik

È uno script basato su PHPIDS (rilasciato sotto GPL2) per eseguire la scansione dei file di log di HTTPD per gli attacchi contro le applicazioni Web.

Caratteristiche:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, host...
- generates reports in CSV, HTML (sortable table), XML
    
risposta data 07.05.2012 - 15:10
fonte
1

Potrebbe essere preferibile eseguire la scansione della cache del piano di database (e / o dei file di registro) rispetto ai log del server Web, anche se certamente sarebbe opportuno combinare queste tecniche e abbinare timbri di data e ora.

Per ulteriori informazioni, consultare il libro di Kevvie Fowler su Analisi forense di SQL Server .

    
risposta data 14.11.2010 - 14:36
fonte
1

Prova LORG - > link . Ha diverse modalità di rilevamento (basate sulla firma, basata sulle statistiche, basata sull'apprendimento), alcune caratteristiche interessanti come il geomapping, le ricerche DNSBL e il rilevamento dei robot (= era l'attaccante un uomo o una macchina?).

Può indovinare il successo degli attacchi cercando i valori anomali nel campo "byte inviati", i codici di risposta HTTP o la riproduzione attiva degli attacchi.

Il codice è ancora pre-alpha, ma in sviluppo attivo.

    
risposta data 26.06.2013 - 12:09
fonte

Leggi altre domande sui tag