Ciao a tutti, devo analizzare una marea di file di log di apache per individuare degli attacchi e volevo sapere se esiste un applicativo per win o per linux che può aiutarmi a fare questo...
Grazie in anticipo
Ciao a tutti, devo analizzare una marea di file di log di apache per individuare degli attacchi e volevo sapere se esiste un applicativo per win o per linux che può aiutarmi a fare questo...
Grazie in anticipo
Dipende dal server, io solitamente se noto qualcosa di anomalo via logwatch o via stats fo semplicemente un grep del parametro in questione (ip o riga di request sospetta) negli access.log o error.log, ma uso esclusivamente apache, per IIS non saprei come aiutarti.
Che tipo di attacco hai rilevato?
Ciao, utilizzo apache su una macchina redhat e il tipo di attacco riscontrato è un email injection quindi non sapendo su quale domino dei tanti che ci sono sopra volevo analizzare i file log di apache per vedere gli accessi e cercare di capire quale dei form ha problemi di sicurezza quindi usare il grep senza sapere dove e cosa diventa un problema...
Beh se hai individuato un attacco qualcosa su questo dovrai pur saperla. Se è una mail injection su un form php potresti cercare nei log tutte le requests ai form dei siti. Qualcosa avranno pur richiesto. Io inizierei dal primo giorno in cui si sono riscontrati attacchi. Prova con un grep della data e già smisti parecchia roba. Magari esportalo in un file di testo tramite cat access.log | grep data >> attacco.txt e poi inizi a lavorare sulle possibili richieste registrate sul file appena creato.
Certo è che se hai parecchi siti sulla macchina sarebbe opportuno registrare i log su tanti files diversi quanti sono i siti, altrimenti poi diventi matto.
Infatti ho tanti file di access.log per ogni dominio, ma controllare per ogni domino le richieste ai form che ci sono è un bel lavorone, pensavo che ci fosse un tool che magari carichi dentro i file di log e fai delle analisi a blocco... comunque ho iniziato a guardarli uno per uno cercando di capire quale o quali sono i form effettivamente attaccati.
No, che io sappia non esiste nulla del genere. Puoi andare in modo artigianale o greppando con la data del primo attacco, oppure cercando alcuni tipici mail injection e provare a greppare le corrispondenze eventuali nei log.
Non ricordo una cosa però, dopo un rotate gli archivi te li zippa tutti sotto unico file o fa tanti archivi quanti sono i files? Perchè se ne fa uno solo forse ti risparmi un po di sbatta, ma mi pare di ricordare che ne fa tanti | quanti, controlla.
Comunque la metti resta un lavoraccio
ne fa uno a settimana e infatti come la giro la giro non vedo via di uscita
Permessi di invio
Rispondi quotando