Сегодня мы кратко рассмотрим довольно простой онлайн-сервис, суть которого сводится к возможности парсинга и анализа лог-файлов вашего веб-сервера (website's HTTP access logs), для автоматического и своевременного выявления всех попыток использования типичных на сегодня техник web-атак против ваших сайтов.
Для начала давайте перечислим, какие именно угрозы может успешно детектировать этот сервис:
И если со всеми пунктами думаю, всё более-менее ясно, то по последним двум нужны отдельные пояснения. Группа Miscellaneous Attacks включает в себя поиск и выявление сразу множества менее известных и редких техник (или их сочетаний), поэтому все они слиты здесь воедино.
А вот группа Not Attacks — это как раз пример выявления (для тестовых и образовательных нужд) записей, которые на первый взгляд могут казаться несомненным сигналом атаки, но на самом деле таковым скорее всего не являются. Это группа выявляет частые и типичные случаи из категории false positives, для которых как минимум нужен дополнительный человеческий анализ.
Возможность выявления всех этих атак представлено в виде формы (для каждого типа атак — отдельно), поэтому придется сначала скопировать кусок вашего серверного лога, чтобы потом, вставив его в соответствующую форму получить результат его анализа. Следует сразу заметить, что выявляются стандартные атаки против движков написанных на всех языках, но наиболее оптимизировано выявление атак именно против приложений написанных на PHP.
В данном случае, конечно, использование этого онлайн-сервиса не совсем удобно, так как для прогона всех лог-файлов от веб-сервера потребуется вставлять их в каждую отдельную форму для каждой атаки. Впрочем, бессмысленно требовать большего — это просто промо-страница для продажи соответствующего Perl-скрипта (стоимостью в 8 долларов), который уже и объединяет все эти возможности воедино, позволяя очень гибко и автоматически проверять весь лог-файл на предмет выявления всех видов атак сразу.
Для новичков, можно дать несколько дополнительных полезных ссылок. В частности, здесь описано где взять лог-файлы (website's HTTP access logs) вашего вебсервера, которые кстати имеют примерно вот такой вот вид:
111.222.333.444 - - [01/Nov/2010:02:21:59 -0800] "GET /forum/index.php HTTP/1.1" 200 17637 "http://referersite.com/pagewithlink.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
Ну а для тех кто жаждет деталей, вот здесь (1,2) описаны какие именно запросы-подстроки ищутся в этих лог-файлах.
Повторюсь, сам этот мини-онлайн-сервис бесплатно доступен по этому адресу.