it-swarm.it

Posso rilevare gli attacchi delle app Web visualizzando il mio file di registro di Apache?

Occasionalmente ricevo clienti che chiedono di guardare il loro file access_log per determinare se eventuali attacchi web hanno avuto successo. Quali strumenti sono utili per discernere gli attacchi?

25
Tate Hansen

Sì, il registro Apache ti fornisce informazioni sulle persone che hanno visitato il tuo sito Web, inclusi robot e ragni. modelli che puoi controllare:

  • qualcuno ha fatto più richieste in meno di secondi o ha accettato il periodo di tempo.
  • accesso sicuro o accesso alla pagina più volte in una finestra di un minuto.
  • accesso a pagine inesistenti utilizzando parametri o percorsi di query diversi.

Apache cuoio capelluto http://code.google.com/p/Apache-scalp/ è molto bravo a fare tutto quanto sopra

15
Mohamed

mod_sec può rilevare praticamente qualsiasi cosa, inclusa l'ispezione di POST richieste.

È anche possibile caricare le regole degli snort id in esso e bloccare queste richieste al volo prima che colpiscano le applicazioni

5
Troy Rose

L'analisi del registro non copre tutti gli attacchi. Ad esempio, non vedrai attacchi passati attraverso POST. Come misura di protezione aggiuntiva può servire IDS/IPS.

5
anonymous

Come osservato da Ams, l'analisi dei log non copre tutti gli attacchi e non vedrai i parametri di POST. Tuttavia, l'analisi dei log per POST a volte è molto gratificante.

In particolare, i POST sono popolari per l'invio di codice dannoso agli script backdoor. Tali backdoor possono essere create da qualche parte nelle sottodirectory o un codice backdoor può essere iniettato in un file legittimo. Se il tuo sito non è sotto un controllo di versione o qualche altro controllo di integrità, potrebbe essere difficile individuare tali script backdoor.

Ecco il trucco:

  1. Scansiona i tuoi log di accesso per POST richiesta e compila un elenco di file richiesti. Sui siti normali, non dovrebbero essercene molti.
  2. Controlla quei file per integrità e legittimità. Questa sarà la tua lista bianca.
  3. Ora scansiona regolarmente i tuoi registri per POST richiesta e confronta i file richiesti con la tua lista bianca (inutile dire che dovresti automatizzare questo processo). Ogni nuovo file dovrebbe essere investigato. Se è legittimo - aggiungilo alla lista bianca. In caso contrario, esaminare il problema.

In questo modo sarete in grado di rilevare in modo efficiente POST ai file che normalmente non accettano POST (codice backdoor iniettato) e backdoor appena creata Se sei fortunato, puoi utilizzare l'indirizzo IP di tali richieste per identificare il punto iniziale di penetrazione oppure puoi semplicemente controllare il log in quel momento per attività sospette.

5
Denis

Dai un'occhiata WebForensik

È uno script basato su PHPIDS (rilasciato sotto GPL2) per scansionare i file di log HTTPD alla ricerca di attacchi contro applicazioni web.

Caratteristiche:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp può verificare la presenza di attacchi tramite HTTP/GET:

"Scalp! È un analizzatore di log per il web server Apache che mira a cercare problemi di sicurezza. L'idea principale è quella di esaminare enormi file di log ed estrarre i possibili attacchi che sono stati inviati tramite HTTP/GET"

4
Tate Hansen

Potrebbe essere meglio eseguire la scansione della cache del piano del database (e/o dei file di registro) rispetto ai registri del server Web, anche se certamente sarebbe utile combinare queste tecniche e abbinare i timestamp di data e ora.

Per ulteriori informazioni, consultare il libro di Kevvie Fowler su SQL Server Forensic Analysis .

1
atdre

Prova [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Ha diverse modalità di rilevamento (basato su firma, basato su statistiche, basato sull'apprendimento), alcune funzioni di Nizza come geomapping, ricerche DNSBL e rilevamento robot (= l'attaccante era un uomo o una macchina?).

Può fare un'ipotesi sul successo degli attacchi cercando valori anomali nel campo "byte inviati", codici di risposta HTTP o riproduzione attiva degli attacchi.

Il codice è ancora pre-alfa, ma in fase di sviluppo attivo.

1
Adam Smith