it-swarm-eu.dev

Mohu detekovat útoky webových aplikací zobrazením mého souboru protokolu Apache?

Občas dostanu klienty, kteří žádají, abych se podíval na jejich soubor access_log, abych zjistil, zda byly nějaké webové útoky úspěšné. Jaké nástroje jsou užitečné pro rozpoznání útoků?

25
Tate Hansen

Ano, můžete, protokol Apache vám poskytuje informace o lidech, kteří navštívili váš web, včetně robotů a pavouků. vzory, které můžete zkontrolovat:

  • někdo podal více žádostí v méně než druhém nebo akceptovaném časovém rámci.
  • přístup k zabezpečené nebo přihlašovací stránce vícekrát v jednominutovém okně.
  • přístup na neexistující stránky pomocí různých parametrů dotazu nebo cesty.

Skalp Apache http://code.google.com/p/Apache-scalp/ je velmi dobrý v dělání všech výše uvedených věcí

15
Mohamed

mod_sec dokáže detekovat téměř cokoli, včetně kontroly požadavků POST požadavků).

Dalo by se do něj dokonce načíst pravidla snort ids a blokovat tyto požadavky za běhu, než zasáhnou aplikace

5
Troy Rose

Analýza protokolu nepokryje všechny útoky. Například neuvidíte útoky, které jsou předávány prostřednictvím požadavků POST). Jako další ochranné opatření mohou sloužit IDS/IPS.

5
anonymous

Jak poznamenal Ams, analýza protokolu nepokryje všechny útoky a neuvidíte parametry požadavků POST žádostí.) Analýza protokolů pro žádosti POST žádosti je někdy velmi obohacující.

Konkrétně jsou POST populární pro odesílání škodlivého kódu do skriptů v zadním prostoru. Takové zadní dveře mohou být vytvořeny někde hluboko v podadresářích nebo mohou být zadány do legitimního souboru. Pokud váš web není pod kontrolou verzí nebo jiným řízením integrity, může být obtížné najít takové zadní skripty.

Zde je trik:

  1. Prohledejte si protokoly přístupu POST žádost a sestavte seznam požadovaných souborů. Na běžných webech by jich nemělo být mnoho).
  2. Zkontrolujte tyto soubory z hlediska integrity a legitimity. Toto bude váš bílý seznam.
  3. Nyní pravidelně prohledávejte své protokoly POST žádost a porovnejte požadované soubory s vaším bílým seznamem (netřeba říkat, že byste měli tento proces automatizovat). Každý nový soubor by měl být prozkoumán. Pokud je legitimní - přidejte jej na bílou listinu. Pokud ne - prošetřte problém.

Tímto způsobem budete moci efektivně detekovat podezřelé POST požadavek na soubory, které normálně nepřijímají POST požadavky (injektovaný backdoor kód) a nově vytvořené backdoor) Pokud budete mít štěstí, můžete použít IP adresu takových požadavků k identifikaci počátečního bodu proniknutí, nebo můžete jednoduše zkontrolovat, zda v daném čase není podezřelá aktivita.

5
Denis

Podívejte se WebForensik

Je to skript založený na PHPIDS (vydaný pod GPL2), který prohledává vaše protokoly HTTPD, zda nevykazují útoky na webové aplikace.

Vlastnosti:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp může kontrolovat útoky přes HTTP/GET:

„Scalp! Je analyzátor protokolu pro webový server Apache, jehož cílem je hledat bezpečnostní problémy. Hlavní myšlenkou je prozkoumat obrovské soubory protokolu a extrahovat možné útoky, které byly odeslány prostřednictvím protokolu HTTP/GET.“

4
Tate Hansen

Může být lepší prohledat mezipaměť databázového plánu (nebo soubory protokolu) než protokoly webového serveru, i když určitě by bylo dobré tyto techniky kombinovat a porovnat časová a datová razítka.

Další informace naleznete v knize Kevvie Fowlerové o forenzní analýza serveru SQL .

1
atdre

Zkuste [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Má různé detekční režimy (založené na podpisu, statistice, učení), některé pěkné funkce, jako je geomapping, vyhledávání DNSBL a detekce robotů (= byl útočník muž nebo stroj?).

Může hádat o úspěchu útoků hledáním odlehlých hodnot v poli „odesílání bajtů“, kódy odezvy HTTP nebo aktivním opakováním útoků.

Kód je stále pre-alfa, ale v aktivním vývoji.

1
Adam Smith