Di tanto in tanto chiedo ai clienti di chiedere se guardo il loro file access_log per determinare se eventuali attacchi web hanno avuto successo. Quali strumenti sono utili per discernere gli attacchi?
Di tanto in tanto chiedo ai clienti di chiedere se guardo il loro file access_log per determinare se eventuali attacchi web hanno avuto successo. Quali strumenti sono utili per discernere gli attacchi?
Sì, è possibile, il registro apache fornisce informazioni sulle persone che hanno visitato il tuo sito web, inclusi bot e spider. modelli che puoi controllare:
Il file link di apache scalp è molto efficace nel fare tutto quanto sopra
L'analisi del registro non coprirà tutti gli attacchi. Ad esempio, non vedrai attacchi passati attraverso le richieste POST. Come misura di protezione aggiuntiva può servire IDS / IPS.
Come osservato da Ams, l'analisi dei registri non coprirà tutti gli attacchi e non vedrai i parametri delle richieste POST. Tuttavia, analizzare i log per le richieste POST a volte è molto gratificante.
In particolare, i POST sono popolari per l'invio di codice dannoso agli script backdoor. Tali backdoor possono essere creati da qualche parte nelle sottodirectory o un codice backdoor può essere iniettato in un file legittimo. Se il tuo sito non è sotto controllo di versione o altro controllo di integrità, potrebbe essere difficile individuare tali script backdoor.
Ecco il trucco:
In questo modo sarete in grado di rilevare in modo efficiente la richiesta POST sospetta su file che normalmente non accettano richieste POST (codice backdoor iniettato) e file backdoor appena creati. Se sei fortunato, puoi utilizzare l'indirizzo IP di tali richieste per identificare il punto di penetrazione iniziale o puoi semplicemente controllare il registro in quel momento per attività sospette.
apache-scalp può controllare gli attacchi via HTTP / GET:
"Scalp! è un analizzatore di log per il server Web Apache che mira a cercare problemi di sicurezza.L'idea principale è di guardare attraverso enormi file di log ed estrarre i possibili attacchi che sono stati inviati tramite HTTP / GET"
Controlla WebForensik
È uno script basato su PHPIDS (rilasciato sotto GPL2) per eseguire la scansione dei file di log di HTTPD per gli attacchi contro le applicazioni Web.
Caratteristiche:
- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, host...
- generates reports in CSV, HTML (sortable table), XML
Potrebbe essere preferibile eseguire la scansione della cache del piano di database (e / o dei file di registro) rispetto ai log del server Web, anche se certamente sarebbe opportuno combinare queste tecniche e abbinare timbri di data e ora.
Per ulteriori informazioni, consultare il libro di Kevvie Fowler su Analisi forense di SQL Server .
Prova LORG - > link . Ha diverse modalità di rilevamento (basate sulla firma, basata sulle statistiche, basata sull'apprendimento), alcune caratteristiche interessanti come il geomapping, le ricerche DNSBL e il rilevamento dei robot (= era l'attaccante un uomo o una macchina?).
Può indovinare il successo degli attacchi cercando i valori anomali nel campo "byte inviati", i codici di risposta HTTP o la riproduzione attiva degli attacchi.
Il codice è ancora pre-alpha, ma in sviluppo attivo.