通过解析日志文件检测web应用程序的攻击
这个问题的答案现在已经5年了:我可以通过查看我的Apache日志文件来检测web应用程序的攻击吗?
我的老板要求我分析我们的access.log和error.log文件,在上周试图进行的mySQL注入攻击之后。在手工查看日志时,这是非常明显的,但是我们希望能够检测攻击模式的自动化内容(一个服务或一个可以通过cron定期运行的任务)。
我们使用的是nginx,但这不重要,因为日志是标准格式的。对于进行这类日志分析的程序有什么建议吗?我不关心像Webalyzer这样的程序所做的标准流量分析。
此外,对于那些进行这种攻击检测和分析的人,除了比正常流量更大的流量外,您还在日志文件中寻找什么模式?
另外,您是同时查看access.log和error.log还是只看一个?
回答 1
Security用户
发布于 2015-03-11 20:41:45
这取决于你是要得到一个预算还是不去做这个。欢迎来到IDS/IPS和SIEMs的世界。
我作为实习生最喜欢使用的工具是OSSEC (开放源码安全主机入侵检测系统)。
如果你只需要监控一小群主机,并且没有足够的资金来雇佣一个完整的SOC团队,或者没有足够的预算来建立一个像FireEye或ArchSight这样的庞大的、完全支持的暹粒,那么它就是一个非常好的开源工具。您可以编写自己的规则( XML),它允许您根据这些规则生成警报。还可以设置希望监视的目录路径(即var/adm/log或/var/syslog等)。
对于UI,您可以使用OSSEC的Web并将其与apache一起托管在服务器上。此外,为了编写规则,您需要知道您要寻找的是什么,但是这里有一些技巧。您可以设置规则以查找在60秒内发生超过3次的“失败”一词,以生成警报(仅举一个例子)。
希望这能帮上忙。
https://security.stackexchange.com/questions/83568
复制相似问题
腾讯云开发者
