Ocasionalmente, obtengo clientes que solicitan que miren su archivo access_log para determinar si algún ataque web tuvo éxito. ¿Qué herramientas son útiles para discernir ataques?
Ocasionalmente, obtengo clientes que solicitan que miren su archivo access_log para determinar si algún ataque web tuvo éxito. ¿Qué herramientas son útiles para discernir ataques?
Sí, puedes, el registro de apache te brinda información sobre las personas que visitaron tu sitio web, incluidos los robots y las arañas. patrones que puedes consultar:
Apache scalp enlace es muy bueno para hacer todas las cosas anteriores
El análisis de registro no cubrirá todos los ataques. Por ejemplo, no verá los ataques que se pasan a través de solicitudes POST. Como medida de protección adicional puede servir IDS / IPS.
Como señaló Ams, el análisis de registro no cubrirá todos los ataques y no verá los parámetros de las solicitudes POST. Sin embargo, analizar los registros para las solicitudes POST a veces es muy gratificante.
Específicamente, los POST son populares para enviar códigos maliciosos a scripts de puerta trasera. Dichas puertas traseras se pueden crear en algún lugar profundo de los subdirectorios o se puede inyectar un código de puerta trasera en un archivo legítimo. Si su sitio no está bajo un control de versión o algún otro control de integridad, puede ser difícil encontrar dichos scripts de puerta trasera.
Aquí está el truco:
De esta manera, podrá detectar de manera eficiente las solicitudes POST sospechosas a los archivos que normalmente no aceptan solicitudes POST (código de puerta trasera inyectada) y los archivos de puerta trasera recién creados. Si tiene suerte, puede usar la dirección IP de dichas solicitudes para identificar el punto de penetración inicial o simplemente puede revisar el registro en ese momento para detectar actividades sospechosas.
apache-scalp puede buscar ataques a través de HTTP / GET:
"Scalp! es un analizador de registros para el servidor web Apache que tiene como objetivo buscar problemas de seguridad. La idea principal es buscar en enormes archivos de registro y extraer los posibles ataques que se enviaron a través de HTTP / GET"
Consulte WebForensik
Es un script basado en PHPIDS (publicado bajo GPL2) para analizar sus archivos de registro HTTPD en busca de ataques contra aplicaciones web.
Features:
- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, host...
- generates reports in CSV, HTML (sortable table), XML
Puede que sea mejor escanear el caché de su plan de base de datos (y / o los archivos de registro) que los registros de su servidor web, aunque ciertamente sería bueno combinar estas técnicas y hacer coincidir las marcas de fecha y hora.
Para obtener más información, consulte el libro de Kevvie Fowler en Análisis forense de SQL Server .
Pruebe LORG - > enlace . Tiene diferentes modos de detección (basados en firmas, basados en estadísticas, basados en aprendizaje), algunas características agradables como geomapping, búsquedas de DNSBL y detección de robots (= ¿el atacante era un hombre o una máquina?).
Puede hacer una conjetura sobre el éxito de los ataques al buscar valores atípicos en el campo 'bytes enviados', los códigos de respuesta HTTP o la reproducción activa de los ataques.
El código sigue siendo pre-alfa, pero en desarrollo activo.