it-swarm-eu.dev

Kann ich Web-App-Angriffe erkennen, indem ich meine Apache-Protokolldatei ansehe?

Gelegentlich werden Clients aufgefordert, ihre Datei access_log zu überprüfen, um festzustellen, ob Webangriffe erfolgreich waren. Welche Tools sind hilfreich, um Angriffe zu erkennen?

25
Tate Hansen

Ja, das können Sie. Das Apache-Protokoll enthält Informationen zu Personen, die Ihre Website besucht haben, einschließlich Bots und Spinnen. Muster, die Sie überprüfen können:

  • jemand hat mehrere Anfragen in weniger als einer Sekunde oder einem akzeptierten Zeitrahmen gestellt.
  • zugriff auf die Sicherheits- oder Anmeldeseite mehrmals in einem Minutenfenster.
  • zugriff auf nicht vorhandene Seiten mit unterschiedlichen Abfrageparametern oder Pfaden.

Apache Scalp http://code.google.com/p/Apache-scalp/ ist sehr gut darin, all die oben genannten Dinge zu tun

15
Mohamed

mod_sec kann fast alles erkennen, einschließlich der Überprüfung von POST Anfragen).

Sie können sogar Snort-IDs-Regeln darin laden und diese Anforderungen im laufenden Betrieb blockieren, bevor sie auf Anwendungen treffen

5
Troy Rose

Die Protokollanalyse deckt nicht alle Angriffe ab. Beispielsweise werden keine Angriffe angezeigt, die über POST - Anforderungen) geleitet werden. Als zusätzliche Schutzmaßnahme können IDS/IPS eingesetzt werden.

5
anonymous

Wie Ams bemerkte, deckt die Protokollanalyse nicht alle Angriffe ab und Sie sehen keine Parameter von POST -Anforderungen. Manchmal wird jedoch die Analyse von Protokollen auf POST -Anfragen) durchgeführt sehr lohnend.

Insbesondere POSTs sind beliebt, um schädlichen Code an Backdoor-Skripte zu senden. Solche Backdoors können irgendwo tief in Unterverzeichnissen erstellt werden oder ein Backdoor-Code kann in eine legitime Datei eingefügt werden. Wenn Ihre Site keiner Versionskontrolle oder einer anderen Integritätskontrolle unterliegt, kann es schwierig sein, solche Backdoor-Skripte zu finden.

Hier ist der Trick:

  1. Durchsuchen Sie Ihre Zugriffsprotokolle nach POST request und stellen Sie eine Liste der angeforderten Dateien zusammen. Auf normalen Websites sollten nicht viele vorhanden sein.
  2. Überprüfen Sie diese Dateien auf Integrität und Legitimität. Dies wird Ihre weiße Liste sein.
  3. Scannen Sie nun regelmäßig Ihre Protokolle nach POST Anfrage und vergleichen Sie die angeforderten Dateien mit Ihrer Whitelist (Sie sollten diesen Vorgang natürlich automatisieren). Jede neue Datei sollte untersucht werden. Wenn sie legitim ist, fügen Sie sie hinzu Wenn nicht, untersuchen Sie das Problem.

Auf diese Weise können Sie verdächtige POST - Anfragen an Dateien, die normalerweise keine POST - Anfragen (injizierter Backdoor-Code) und neu erstellte Backdoor-Anforderungen akzeptieren - effizient erkennen Wenn Sie Glück haben, können Sie die IP-Adresse solcher Anforderungen verwenden, um den anfänglichen Eindringpunkt zu identifizieren, oder Sie können einfach das Protokoll um diese Zeit auf verdächtige Aktivitäten überprüfen.

5
Denis

Check out WebForensik

Es ist ein PHPIDS-basiertes Skript (veröffentlicht unter GPL2), mit dem Sie Ihre HTTPD-Protokolldateien auf Angriffe auf Webanwendungen scannen können.

Funktionen:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-Kopfhaut kann über HTTP/GET nach Angriffen suchen:

"Scalp! Ist ein Protokollanalysator für den Apache-Webserver, der nach Sicherheitsproblemen suchen soll. Die Hauptidee besteht darin, große Protokolldateien zu durchsuchen und mögliche Angriffe zu extrahieren, die über HTTP/GET gesendet wurden."

4
Tate Hansen

Es ist möglicherweise besser, Ihren Datenbankplan-Cache (und/oder Ihre Protokolldateien) zu scannen als Ihre Webserver-Protokolle, obwohl es sicherlich gut wäre, diese Techniken zu kombinieren und Zeit- und Datumsstempel abzugleichen.

Weitere Informationen finden Sie im Buch von Kevvie Fowler über SQL Server Forensic Analysis .

1
atdre

Versuchen Sie [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Es verfügt über verschiedene Erkennungsmodi (signaturbasiert, statistikbasiert, lernbasiert), einige nette Funktionen wie Geomapping, DNSBL-Lookups und Robotererkennung (= War der Angreifer ein Mensch oder eine Maschine?).

Es kann den Erfolg von Angriffen erraten, indem im Feld "Bytes gesendet" nach Ausreißern, HTTP-Antwortcodes oder der aktiven Wiederholung von Angriffen gesucht wird.

Code ist noch Pre-Alpha, befindet sich jedoch in der aktiven Entwicklung.

1
Adam Smith