it-swarm-es.com

¿Puedo detectar ataques a aplicaciones web al ver mi archivo de registro de Apache?

De vez en cuando recibo clientes que solicitan que mire su archivo access_log para determinar si algún ataque web fue exitoso. ¿Qué herramientas son útiles para discernir ataques?

25
Tate Hansen

Sí, el registro de Apache le brinda información sobre las personas que visitaron su sitio web, incluidos los robots y las arañas. patrones que puedes consultar:

  • alguien hizo múltiples solicitudes en menos de un segundo o aceptó el plazo.
  • accedió a la página segura o de inicio de sesión varias veces en una ventana de un minuto.
  • accedió a páginas inexistentes utilizando diferentes parámetros de consulta o ruta.

Apache scalp http://code.google.com/p/Apache-scalp/ es muy bueno para hacer todas las cosas anteriores

15
Mohamed

mod_sec puede detectar casi cualquier cosa, incluida la inspección de POST solicitudes.

Incluso podría cargar reglas de snort ids y bloquear estas solicitudes sobre la marcha antes de que lleguen a las aplicaciones

5
Troy Rose

El análisis de registro no cubrirá todos los ataques. Por ejemplo, no verá los ataques que se pasan a través de POST solicitudes. Como medida de protección adicional puede servir IDS/IPS.

5
anonymous

Como señaló Ams, el análisis de registros no cubrirá todos los ataques y no verá los parámetros de POST solicitudes. Sin embargo, analizar registros para POST solicitudes a veces es muy gratificante.

Específicamente, los POST son populares para enviar código malicioso a scripts de puerta trasera. Tales puertas traseras se pueden crear en algún lugar profundo en subdirectorios o se puede inyectar un código de puerta trasera en un archivo legítimo. Si su sitio no está bajo un control de versión o algún otro control de integridad, puede ser difícil localizar dichos scripts de puerta trasera.

Aquí está el truco:

  1. Escanee sus registros de acceso para solicitar POST) y compile una lista de los archivos solicitados. En sitios regulares, no debería haber muchos de ellos.
  2. Verifique esos archivos por integridad y legitimidad. Esta será tu lista blanca.
  3. Ahora escanee regularmente sus registros para POST solicitud y compare los archivos solicitados con su lista blanca (no hace falta decir que debe automatizar este proceso). Cualquier archivo nuevo debe ser investigado. Si es legítimo - agréguelo a la lista blanca. Si no, investigue el problema.

De esta manera, podrá detectar eficientemente sospechosas POST solicitud a archivos que normalmente no aceptan POST solicitudes (código inyectado de puerta trasera) y puerta trasera recién creada Si tiene suerte, puede usar la dirección IP de dichas solicitudes para identificar el punto inicial de penetración o simplemente puede verificar el registro en ese momento para detectar actividades sospechosas.

5
Denis

Echa un vistazo a WebForensik

Es un script basado en PHPIDS (lanzado bajo GPL2) para escanear sus archivos de registro HTTPD en busca de ataques contra aplicaciones web.

Características:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp puede verificar ataques a través de HTTP/GET:

"Scalp! Es un analizador de registros para el servidor web Apache que tiene como objetivo buscar problemas de seguridad. La idea principal es mirar a través de enormes archivos de registro y extraer los posibles ataques que se han enviado a través de HTTP/GET"

4
Tate Hansen

Puede ser mejor escanear el caché del plan de la base de datos (y/o los archivos de registro) que los registros de su servidor web, aunque ciertamente sería bueno combinar estas técnicas y combinar sellos de fecha y hora.

Para obtener más información, consulte el libro de Kevvie Fowler en Análisis forense de SQL Server .

1
atdre

Pruebe [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Tiene diferentes modos de detección (basados ​​en firmas, basados ​​en estadísticas, basados ​​en aprendizaje), algunas características agradables como geomapping, búsquedas DNSBL y detección de robots (= ¿el atacante era un hombre o una máquina?).

Puede adivinar el éxito de los ataques buscando valores atípicos en el campo "bytes enviados", códigos de respuesta HTTP o reproducción activa de ataques.

El código aún es pre-alfa, pero está en desarrollo activo.

1
Adam Smith