it-swarm-id.com

Bisakah saya mendeteksi serangan aplikasi web dengan melihat file log Apache saya?

Saya kadang-kadang meminta klien meminta saya melihat file access_log mereka untuk menentukan apakah ada serangan web yang berhasil. Alat apa yang membantu untuk membedakan serangan?

25
Tate Hansen

Ya Anda bisa, log Apache memberi Anda informasi tentang orang-orang yang mengunjungi situs web Anda termasuk bot dan labah-labah. pola yang dapat Anda periksa:

  • seseorang membuat beberapa permintaan dalam jangka waktu kurang dari detik atau diterima.
  • diakses halaman aman atau login beberapa kali dalam jendela satu menit.
  • mengakses halaman yang tidak ada menggunakan parameter kueri atau jalur yang berbeda.

Apache scalp http://code.google.com/p/Apache-scalp/ sangat baik dalam melakukan semua hal di atas

15
Mohamed

mod_sec dapat mendeteksi apa saja, termasuk pemeriksaan POST permintaan.

Anda bahkan dapat memuat aturan id mendengus ke dalamnya dan memblokir permintaan ini dengan cepat sebelum mereka menekan aplikasi

5
Troy Rose

Analisis log tidak akan mencakup semua serangan. Misalnya, Anda tidak akan melihat serangan yang melewati permintaan POST. Sebagai tindakan perlindungan tambahan dapat melayani IDS/IPS.

5
anonymous

Seperti yang dicatat Ams, analisis log tidak akan mencakup semua serangan dan Anda tidak akan melihat parameter POST permintaan. Namun, menganalisis log untuk POST permintaan terkadang sangat bermanfaat.

Secara khusus, POST populer untuk mengirim kode berbahaya ke skrip backdoor. Backdoor tersebut dapat dibuat di suatu tempat jauh di dalam subdirektori atau kode backdoor dapat disuntikkan ke file yang sah. Jika situs Anda tidak di bawah kontrol versi atau kontrol integritas lainnya, mungkin sulit untuk menemukan skrip backdoor tersebut.

Inilah triknya:

  1. Pindai log akses Anda untuk POST permintaan dan kompilasi daftar file yang diminta. Di situs biasa, seharusnya tidak ada banyak dari mereka.
  2. Periksa file-file itu untuk integritas dan legitimasi. Ini akan menjadi daftar putih Anda.
  3. Sekarang secara teratur pindai log Anda untuk POST permintaan dan bandingkan file yang diminta dengan daftar putih Anda (tidak perlu dikatakan Anda harus mengotomatiskan proses ini). Setiap file baru harus diselidiki. Jika sah - tambahkan ke daftar putih. Jika tidak - selidiki masalahnya.

Dengan cara ini Anda dapat mendeteksi secara efisien POST permintaan yang mencurigakan ke file yang biasanya tidak menerima POST permintaan (kode pintu belakang yang diinjeksikan) dan backdoor yang baru dibuat) Jika Anda beruntung, Anda dapat menggunakan alamat IP dari permintaan tersebut untuk mengidentifikasi titik awal penetrasi atau Anda cukup memeriksa log di sekitar waktu itu untuk aktivitas yang mencurigakan.

5
Denis

Lihat WebForensik

Ini adalah skrip berbasis PHPIDS (dirilis di bawah GPL2) untuk memindai file log HTTPD Anda dari serangan terhadap aplikasi web.

Fitur:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp dapat memeriksa serangan melalui HTTP/GET:

"Scalp! Adalah penganalisis log untuk server web Apache yang bertujuan untuk mencari masalah keamanan. Gagasan utamanya adalah untuk mencari melalui file log besar dan mengekstrak kemungkinan serangan yang telah dikirim melalui HTTP/GET"

4
Tate Hansen

Mungkin lebih baik untuk memindai cache rencana basis data Anda (dan/atau file log) daripada log server web Anda, meskipun tentu akan lebih baik untuk menggabungkan teknik-teknik ini dan menyesuaikan waktu dan cap tanggal.

Untuk informasi lebih lanjut, silakan lihat buku oleh Kevvie Fowler di SQL Server Forensic Analysis .

1
atdre

Coba [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Ini memiliki mode pendeteksian yang berbeda (berbasis tanda tangan, berbasis statistik, berbasis pembelajaran), beberapa fitur yang bagus seperti geomapping, DNSBL-lookups dan deteksi robot (= apakah penyerang seorang pria atau mesin?).

Ia dapat memperkirakan keberhasilan serangan dengan mencari pencilan di bidang 'pengiriman byte', kode respons HTTP, atau ulangan aktif serangan.

Kode masih pra-alfa, tetapi masih dalam pengembangan aktif.

1
Adam Smith