Онлайн-сервис для обнаружения попыток взлома web-сервера

Онлайн-сервис для обнаружения попыток взлома web-сервера

× Версия для печати

Сегодня мы кратко рассмотрим довольно простой онлайн-сервис, суть которого сводится к возможности парсинга и анализа лог-файлов вашего веб-сервера (website's HTTP access logs), для автоматического и своевременного выявления всех попыток использования типичных на сегодня техник web-атак против ваших сайтов.

Для начала давайте перечислим, какие именно угрозы может успешно детектировать этот сервис:

Remote File Inclusion (RFI) ;
Local File Inclusion (LFI) ;
SQL Injection;
Log File or Statistics Analyzer Attacks;
Cross-site scripting attack;
Miscellaneous Attacks;
Not Attacks.

И если со всеми пунктами думаю, всё более-менее ясно, то по последним двум нужны отдельные пояснения. Группа Miscellaneous Attacks включает в себя поиск и выявление сразу множества менее известных и редких техник (или их сочетаний), поэтому все они слиты здесь воедино.

А вот группа Not Attacks — это как раз пример выявления (для тестовых и образовательных нужд) записей, которые на первый взгляд могут казаться несомненным сигналом атаки, но на самом деле таковым скорее всего не являются. Это группа выявляет частые и типичные случаи из категории false positives, для которых как минимум нужен дополнительный человеческий анализ.

Как всё работает

Возможность выявления всех этих атак представлено в виде формы (для каждого типа атак — отдельно), поэтому придется сначала скопировать кусок вашего серверного лога, чтобы потом, вставив его в соответствующую форму получить результат его анализа. Следует сразу заметить, что выявляются стандартные атаки против движков написанных на всех языках, но наиболее оптимизировано выявление атак именно против приложений написанных на PHP.

На самом деле, попытки использования той же «слепой» SQL Injection требуют многочисленных попыток подбора, после чего серверные логи буквально наводнены красноречивыми следами от подобных запросов. Работа самых разных автоматических сканеров безопасности веб-сайтов — также источник обилия «грязных записей» в логах. Нужно просто не лениться и следить за всем этим, тогда выявление попыток или процесса подготовки подобного рода атак достаточно банально, а их результаты не станут для вас сюрпризом.

В данном случае, конечно, использование этого онлайн-сервиса не совсем удобно, так как для прогона всех лог-файлов от веб-сервера потребуется вставлять их в каждую отдельную форму для каждой атаки. Впрочем, бессмысленно требовать большего — это просто промо-страница для продажи соответствующего Perl-скрипта (стоимостью в 8 долларов), который уже и объединяет все эти возможности воедино, позволяя очень гибко и автоматически проверять весь лог-файл на предмет выявления всех видов атак сразу.

Дополнительная информация

Для новичков, можно дать несколько дополнительных полезных ссылок. В частности, здесь описано где взять лог-файлы (website's HTTP access logs) вашего вебсервера, которые кстати имеют примерно вот такой вот вид:

111.222.333.444 - - [01/Nov/2010:02:21:59 -0800] "GET /forum/index.php HTTP/1.1" 200 17637 "http://referersite.com/pagewithlink.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

Ну а для тех кто жаждет деталей, вот здесь (1,2) описаны какие именно запросы-подстроки ищутся в этих лог-файлах.

Повторюсь, сам этот мини-онлайн-сервис бесплатно доступен по этому адресу.

Похожие страницы: