Seguridad de los archivos de registro: inyección de código malicioso en los archivos de registro

10

Como parte de mi proyecto de curso, estoy tratando de entender varios marcos de seguridad y mejores prácticas.

Uno de los enfoques más populares es mantener los registros. Mi pregunta es sobre la seguridad del propio archivo de registro. Dado que la mayoría de los registros proporcionan un seguimiento claro de cómo la aplicación maneja los errores, ¿qué tan seguro es un archivo de registro?

¿Puede un hacker inyectar código malicioso en un archivo de registro? ¿Cuáles son las formas de asegurar un archivo de registro si crea una vulnerabilidad (puede estar codificando, pero entonces cuán efectivo puede ser)?

Por último, ¿vale la pena gastar enormes cantidades de tiempo, energía y dinero en la obtención de registros?

    
pregunta acoolguy 06.08.2012 - 20:47
fuente

2 respuestas

15

Este es un problema importante al probar la capacidad de auditoría, ya que la gente de TI tiende a tener acceso a los servidores y, en teoría, podría alterar los registros.

Una solución común es escribir registros en un lugar inaccesible para IT / Sysadmins, etc. además de los servidores centrales de syslog, por ejemplo, fuera del sitio o en una unidad WORM (Escriba una vez - Lea muchos)

Esto le permite utilizar sus servidores de syslog normales para la resolución diaria de problemas, el análisis de rendimiento, etc., a la vez que conserva registros "seguros" para fines de auditoría o investigación.

Por supuesto, un atacante determinado y experto podría interceptar el tráfico, pero el objetivo es hacer que sea lo suficientemente difícil como para dejar algunos rastros.

En cuanto a lo que vale la pena asegurarlos, depende de las necesidades de la organización. Para bancos y grandes corporaciones puede ser esencial / obligatorio, mientras que para una organización pequeña de 5 personas puede ser una prioridad mucho menor.

    
respondido por el Rory Alsop 06.08.2012 - 21:19
fuente
16

Sí, la inyección de archivos de registro puede ser útil en el proceso de explotación. Por ejemplo, aquí hay una vulnerabilidad que utiliza una vulnerabilidad de inclusión de archivo local de PHP para ejecutar código PHP dentro de% co_de de Apache % expediente. Este patrón de explotación es común en el mundo LAMP.

La mayoría de los sistemas carecen de protección contra este patrón de ataque. Por lo general, los archivos de registro están protegidos por los controles de acceso a los archivos de los sistemas operativos. AppArmor y SELinux pueden evitar que un proceso acceda a un archivo o directorio arbitrario. PHP access_log puede evitar que PHP incluya archivos fuera del directorio de la aplicación.

Registro remoto es una excelente solución para los ataques de inclusión de archivos locales, así como para amenaza planteada por un atacante que compromete la máquina y manipula el archivo de registro para ocultar sus huellas.

    
respondido por el rook 06.08.2012 - 21:26
fuente

Lea otras preguntas en las etiquetas