it-swarm-tr.com

Apache günlük dosyamı görüntüleyerek web uygulaması saldırılarını tespit edebilir miyim?

Bazen herhangi bir web saldırı başarılı olup olmadığını belirlemek için kendi access_log dosyasına bakmak isteyen istemciler olsun. Saldırıları ayırt etmek için hangi araçlar yardımcı olur?

25
Tate Hansen

Evet, Apache günlüğü size web sitenizi ziyaret eden kişiler ve botlar ve örümcekler hakkında bilgi verir. kontrol edebilirsiniz desenler:

  • birisi ikinci veya daha kısa sürede birden fazla istekte bulundu.
  • güvenli veya giriş sayfasına bir dakikalık pencerede birden çok kez erişildi.
  • farklı sorgu parametreleri veya yolu kullanarak var olmayan sayfalara erişildi.

Apache kafa derisi http://code.google.com/p/Apache-scalp/ yukarıdaki her şeyi yapmakta çok iyidir

15
Mohamed

mod_sec POST isteklerinin incelenmesi dahil) hemen hemen her şeyi algılayabilir.

Hatta snort ids kurallarını yükleyebilir ve uygulamalara çarpmadan önce bu istekleri anında engelleyebilirsiniz

5
Troy Rose

Günlük analizi tüm saldırıları kapsamaz. Örneğin, POST istekleri üzerinden geçirilen saldırıları görmeyeceksiniz. Ek bir koruma önlemi IDS/IPS sunabilir.

5
anonymous

Ams'in belirttiği gibi, günlük analizi tüm saldırıları kapsamaz ve POST istek parametrelerini görmezsiniz. Ancak, POST istekleri için günlükleri analiz etmek bazen çok faydalı.

Özellikle, POST'lar arka kapı komut dosyalarına kötü amaçlı kod göndermek için popülerdir. Bu tür arka kapılar alt dizinlerde derin bir yerde oluşturulabilir veya bir arka kapı kodu yasal bir dosyaya enjekte edilebilir. Siteniz bir sürüm denetimi veya başka bir bütünlük denetimi altında değilse, bu tür arka kapı komut dosyalarını bulmak zor olabilir.

İşte hile:

  1. Erişim günlüklerinizi POST istek için tarayın ve istenen dosyaların bir listesini derleyin. Normal sitelerde bunların çoğu olmamalıdır.
  2. Bu dosyaları bütünlük ve meşruiyet açısından kontrol edin. Bu beyaz listeniz olacak.
  3. Şimdi günlüklerinizi düzenli olarak POST isteği için tarayın ve beyaz listenizle istenen dosyaları karşılaştırın (bu işlemi otomatikleştirmeniz gerektiğini söylemeye gerek yok)) Herhangi bir yeni dosya araştırılmalıdır. Meşru ise - ekleyin Değilse - sorunu araştırın.

Bu şekilde, şüpheli POST normalde kabul etmeyen dosyalara isteği POST istekleri (enjekte edilen arka kapı kodu) ve yeni oluşturulan arka kapı) etkili bir şekilde tespit edebileceksiniz Şanslıysanız, ilk giriş noktasını belirlemek için bu tür isteklerin IP adresini kullanabilir veya şüpheli etkinlik olup olmadığını anlamak için o zamanın günlüğünü kontrol edebilirsiniz.

5
Denis

Check out WebForensik

HTTPD günlük dosyalarınızı web uygulamalarına yönelik saldırılara karşı taramak için PHPIDS tabanlı bir komut dosyasıdır (GPL2 altında yayınlanmıştır).

Özellikler:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp HTTP/GET yoluyla saldırıları kontrol edebilir:

"Scalp! Güvenlik sorunlarını aramayı amaçlayan Apache web sunucusu için bir günlük analizörüdür. Ana fikir, büyük günlük dosyalarına bakmak ve HTTP/GET üzerinden gönderilen olası saldırıları çıkarmaktır."

4
Tate Hansen

Veritabanı planı önbelleğinizi (ve/veya günlük dosyalarınızı) web sunucusu günlüklerinizden taramak daha iyi olabilir, ancak kesinlikle bu teknikleri birleştirmek ve zaman ve tarih damgalarını eşleştirmek iyi olacaktır.

Daha fazla bilgi için lütfen Kevvie Fowler'in SQL Server Adli Analizi kitabına bakınız.

1
atdre

[~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Farklı algılama modları (imza tabanlı, istatistik tabanlı, öğrenme tabanlı), coğrafi haritalama, DNSBL aramaları ve robot algılama gibi bazı Nice özellikleri vardır (= saldırgan bir insan mı yoksa bir makine miydi?).

'Bayt-gönderilen' alanındaki aykırı değerleri, HTTP yanıt kodlarını veya saldırıların aktif olarak tekrarlanmasını arayarak saldırıların başarısını tahmin edebilir.

Kod hala alfa öncesi, ancak aktif geliştirme aşamasında.

1
Adam Smith