Puis-je détecter les attaques d'applications Web en affichant mon fichier journal Apache?

mod_sec peut détecter à peu près tout, y compris l'inspection des demandes POST.

Vous pouvez même y charger des règles d'ID de snort et bloquer ces demandes à la volée avant qu'elles ne frappent les applications

L'analyse des journaux ne couvrira pas toutes les attaques. Par exemple, vous ne verrez pas les attaques qui sont passées par les requêtes POST. Comme mesure de protection supplémentaire peut servir IDS/IPS.

Comme l'a noté Ams, l'analyse des journaux ne couvrira pas toutes les attaques et vous ne verrez pas les paramètres des demandes POST. Cependant, l'analyse des journaux pour les demandes POST est parfois très enrichissant.

Plus précisément, les POST sont populaires pour envoyer du code malveillant vers des scripts de porte dérobée. Ces portes dérobées peuvent être créées quelque part profondément dans les sous-répertoires ou un code de porte dérobée peut être injecté dans un fichier légitime. Si votre site n'est pas soumis à un contrôle de version ou à un autre contrôle d'intégrité, il peut être difficile de localiser de tels scripts de porte dérobée.

Voici l'astuce:

1. Analysez vos journaux d'accès pour POST demande et compilez une liste des fichiers demandés. Sur les sites réguliers, il ne devrait pas y en avoir beaucoup.
2. Vérifiez l'intégrité et la légitimité de ces fichiers. Ce sera votre liste blanche.
3. Maintenant, analysez régulièrement vos journaux pour POST demander et comparer les fichiers demandés avec votre liste blanche (inutile de dire que vous devez automatiser ce processus). Tout nouveau fichier doit être examiné. S'il est légitime - ajoutez-le dans la liste blanche. Sinon, étudiez le problème.

De cette façon, vous serez en mesure de détecter efficacement les requêtes suspectes POST aux fichiers qui n'acceptent normalement pas POST (code de porte dérobée injecté) et la porte dérobée nouvellement créée) Si vous avez de la chance, vous pouvez utiliser l'adresse IP de ces demandes pour identifier le point de pénétration initial ou vous pouvez simplement consulter le journal à cette époque pour détecter toute activité suspecte.

Découvrez WebForensik

Il s'agit d'un script basé sur PHPIDS (publié sous GPL2) pour analyser vos fichiers journaux HTTPD à la recherche d'attaques contre les applications Web.

Caractéristiques:

- supports standard log formats (common, combined)
- allows user-defined (mod_log_config syntax) formats
- automatically pipes your web logs through PHPIDS
- categorizes all incidents by type, impact, date, Host...
- generates reports in CSV, HTML (sortable table), XML

Apache-scalp peut vérifier les attaques via HTTP/GET:

"Scalp! Est un analyseur de journaux pour le serveur Web Apache qui vise à rechercher des problèmes de sécurité. L'idée principale est de parcourir d'énormes fichiers journaux et d'extraire les attaques possibles qui ont été envoyées via HTTP/GET"

Il peut être préférable d'analyser le cache de votre plan de base de données (et/ou les fichiers journaux) que les journaux de votre serveur Web, bien qu'il serait certainement bon de combiner ces techniques et de faire correspondre les horodatages et les horodatages.

Pour plus d'informations, consultez le livre de Kevvie Fowler sur SQL Server Forensic Analysis .

Essayez [~ # ~] lorg [~ # ~] -> https://github.com/jensvoid/lorg . Il a différents modes de détection (basés sur les signatures, basés sur les statistiques, basés sur l'apprentissage), certaines fonctionnalités intéressantes comme la géocartographie, les recherches DNSBL et la détection de robot (= l'attaquant était-il un homme ou une machine?).

Il peut deviner le succès des attaques en recherchant des valeurs aberrantes dans le champ "octets envoyés", des codes de réponse HTTP ou une relecture active des attaques.

Le code est toujours pré-alpha, mais en cours de développement actif.