it-swarm-korea.com

Apache 로그 파일을보고 웹앱 공격을 탐지 할 수 있습니까?

때때로 클라이언트가 웹 공격이 성공했는지 확인하기 위해 access_log 파일을 살펴 보라고 요청합니다. 공격을 식별하는 데 도움이되는 도구는 무엇입니까?

25
Tate Hansen

예. 아파치 로그는 봇과 스파이더를 포함하여 웹 사이트를 방문한 사람들에 대한 정보를 제공합니다. 확인할 수있는 패턴 :

  • 누군가가 2 초 이내에 또는 여러 번 요청한 시간 내에 여러 요청을했습니다.
  • 1 분 동안 보안 또는 로그인 페이지에 여러 번 액세스했습니다.
  • 다른 쿼리 매개 변수 또는 경로를 사용하여 존재하지 않는 페이지에 액세스했습니다.

Apache scalp http://code.google.com/p/Apache-scalp/ 위의 모든 작업을 수행하는 데 매우 능숙합니다.

15
Mohamed

mod_sec POST 요청 검사 포함) 거의 모든 것을 감지 할 수 있습니다.

Snort ids 규칙을로드하고 응용 프로그램에 충돌하기 전에 이러한 요청을 즉시 차단 할 수 있습니다

5
Troy Rose

로그 분석은 모든 공격을 다루지는 않습니다. 예를 들어 POST 요청을 통과 한 공격은 표시되지 않습니다. 추가 보호 조치로 IDS/IPS를 제공 할 수 있습니다.

5
anonymous

Ams가 지적했듯이 로그 분석은 모든 공격을 다루지는 않으며 POST 요청의 매개 변수는 표시되지 않지만 POST 요청에 대한 로그 분석은 매우 보람있는.

특히 POST는 악성 코드를 백도어 스크립트로 보내는 데 널리 사용됩니다. 이러한 백도어는 하위 디렉토리의 깊은 곳에 생성하거나 백도어 코드를 합법적 인 파일에 삽입 할 수 있습니다. 사이트가 버전 제어 또는 다른 무결성 제어를받지 않는 경우 이러한 백도어 스크립트를 찾기가 어려울 수 있습니다.

요령은 다음과 같습니다.

  1. 액세스 로그에서 POST 요청을 검색하고 요청 된 파일 목록을 컴파일하십시오. 일반 사이트에는 그 수가 많지 않아야합니다.
  2. 무결성과 적법성에 대해 해당 파일을 확인하십시오. 이것이 당신의 화이트리스트가 될 것입니다.
  3. 이제 정기적으로 로그에서 POST 요청 및 요청 된 파일을 화이트리스트와 비교하십시오 (이 프로세스를 자동화해야 함은 말할 필요도 없음)) 새 파일을 조사해야합니다. 합법적 인 경우 추가하십시오. 그렇지 않으면 문제를 조사하십시오.

이렇게하면 의심스러운 POST 일반적으로 허용되지 않는 파일에 대한 요청 POST 요청 (백도어 주입)) 및 새로 생성 된 백도어를 효율적으로 감지 할 수 있습니다. 운이 좋으면 그러한 요청의 IP 주소를 사용하여 초기 침투 지점을 식별하거나 의심스러운 활동에 대해 해당 시간의 로그를 간단히 확인할 수 있습니다.

5
Denis

체크 아웃 WebForensik

웹 애플리케이션에 대한 공격에 대한 HTTPD 로그 파일을 스캔하는 PHPIDS 기반 스크립트 (GPL2에서 출시)입니다.

특징 :

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML
4
guy_intro

Apache-scalp HTTP/GET을 통해 공격을 확인할 수 있습니다 :

"Scalp!는 보안 문제를 찾는 것을 목표로하는 Apache 웹 서버용 로그 분석기입니다. 주요 아이디어는 거대한 로그 파일을 살펴보고 HTTP/GET을 통해 전송 된 가능한 공격을 추출하는 것입니다."

4
Tate Hansen

웹 서버 로그보다 데이터베이스 계획 캐시 (및/또는 로그 파일)를 스캔하는 것이 더 나을 수 있지만, 이러한 기술을 결합하고 시간 및 날짜 스탬프를 일치시키는 것이 좋습니다.

자세한 내용은 Kevvie Fowler의 SQL Server Forensic Analysis 에 대한 책을 참조하십시오.

1
atdre

[~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . 다양한 탐지 모드 (서명 기반, 통계 기반, 학습 기반), 지오 매핑, DNSBL 조회 및 로봇 탐지와 같은 멋진 기능이 있습니다 (= 공격자는 사람이나 기계입니까?).

'bytes-sent'필드, HTTP 응답 코드 또는 적극적인 공격 재생을 통해 공격의 성공 여부를 추측 할 수 있습니다.

코드는 여전히 사전 알파이지만 활발한 개발 중에 있습니다.

1
Adam Smith