¿Puedo detectar ataques de aplicaciones web al ver mi archivo de registro de Apache? [cerrado]

24

Ocasionalmente, obtengo clientes que solicitan que miren su archivo access_log para determinar si algún ataque web tuvo éxito. ¿Qué herramientas son útiles para discernir ataques?

    
pregunta Tate Hansen 12.11.2010 - 01:36
fuente

8 respuestas

15

Sí, puedes, el registro de apache te brinda información sobre las personas que visitaron tu sitio web, incluidos los robots y las arañas. patrones que puedes consultar:

  • alguien realizó varias solicitudes en menos de un segundo o un período de tiempo aceptado.
  • accedió a la página segura o de inicio de sesión varias veces en una ventana de un minuto.
  • accedió a páginas no existentes utilizando diferentes parámetros de consulta o ruta.

Apache scalp enlace es muy bueno para hacer todas las cosas anteriores

    
respondido por el Mohamed 12.11.2010 - 01:40
fuente
5

El análisis de registro no cubrirá todos los ataques. Por ejemplo, no verá los ataques que se pasan a través de solicitudes POST. Como medida de protección adicional puede servir IDS / IPS.

    
respondido por el anonymous 12.11.2010 - 01:47
fuente
5

Como señaló Ams, el análisis de registro no cubrirá todos los ataques y no verá los parámetros de las solicitudes POST. Sin embargo, analizar los registros para las solicitudes POST a veces es muy gratificante.

Específicamente, los POST son populares para enviar códigos maliciosos a scripts de puerta trasera. Dichas puertas traseras se pueden crear en algún lugar profundo de los subdirectorios o se puede inyectar un código de puerta trasera en un archivo legítimo. Si su sitio no está bajo un control de versión o algún otro control de integridad, puede ser difícil encontrar dichos scripts de puerta trasera.

Aquí está el truco:

  1. Escanee sus registros de acceso para POST solicitar y compilar una lista de archivos solicitados. En sitios regulares, No debería haber muchos de ellos.
  2. Comprueba la integridad de esos archivos y legitimidad. Este sera tu blanco lista.
  3. Ahora escanea regularmente tus registros para solicitud POST y comparar archivos solicitados con su lista blanca (no hace falta decir que deberías automatizar este proceso). Algo nuevo archivo debe ser investigado. Si se es legítimo - agréguelo a la lista blanca Si no, investigue el problema.

De esta manera, podrá detectar de manera eficiente las solicitudes POST sospechosas a los archivos que normalmente no aceptan solicitudes POST (código de puerta trasera inyectada) y los archivos de puerta trasera recién creados. Si tiene suerte, puede usar la dirección IP de dichas solicitudes para identificar el punto de penetración inicial o simplemente puede revisar el registro en ese momento para detectar actividades sospechosas.

    
respondido por el Denis 22.11.2010 - 17:28
fuente
5

mod_sec puede detectar casi cualquier cosa, incluida la inspección de solicitudes POST.

Incluso puedes cargar reglas de snort ids y bloquear estas solicitudes sobre la marcha antes de que lleguen a las aplicaciones

    
respondido por el Troy Rose 22.12.2010 - 13:02
fuente
4

apache-scalp puede buscar ataques a través de HTTP / GET:

"Scalp! es un analizador de registros para el servidor web Apache que tiene como objetivo buscar problemas de seguridad. La idea principal es buscar en enormes archivos de registro y extraer los posibles ataques que se enviaron a través de HTTP / GET"

    
respondido por el Tate Hansen 12.11.2010 - 01:38
fuente
4

Consulte WebForensik

Es un script basado en PHPIDS (publicado bajo GPL2) para analizar sus archivos de registro HTTPD en busca de ataques contra aplicaciones web.

Features:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, host...
- generates reports in CSV, HTML (sortable table), XML
    
respondido por el guy_intro 07.05.2012 - 15:10
fuente
1

Puede que sea mejor escanear el caché de su plan de base de datos (y / o los archivos de registro) que los registros de su servidor web, aunque ciertamente sería bueno combinar estas técnicas y hacer coincidir las marcas de fecha y hora.

Para obtener más información, consulte el libro de Kevvie Fowler en Análisis forense de SQL Server .

    
respondido por el atdre 14.11.2010 - 14:36
fuente
1

Pruebe LORG - > enlace . Tiene diferentes modos de detección (basados en firmas, basados en estadísticas, basados en aprendizaje), algunas características agradables como geomapping, búsquedas de DNSBL y detección de robots (= ¿el atacante era un hombre o una máquina?).

Puede hacer una conjetura sobre el éxito de los ataques al buscar valores atípicos en el campo 'bytes enviados', los códigos de respuesta HTTP o la reproducción activa de los ataques.

El código sigue siendo pre-alfa, pero en desarrollo activo.

    
respondido por el Adam Smith 26.06.2013 - 12:09
fuente

Lea otras preguntas en las etiquetas