我需要一个 Apache 取证日志分析工具,用于对 2-3 个月前发生的一次成功的滥用服务攻击进行事后分析。我们正在运行一个共享托管服务,我们的一个客户似乎正在运行(或曾经运行过)一个可利用的脚本。我怀疑我可以在日志中找到线索和提示,但它们太大了,无法手动浏览它们或从中 grep 正则表达式。
是否有一个工具可以做到这一点,并且具有针对已知攻击的预定义搜索模式,甚至可能具有启发式方法来发现可疑活动?
我没有寻找一个工具来实时阻止此类尝试,因为我需要分析过去的日志并查看漏洞是否已被关闭。
答案1
大概,统计可以帮助您。它是一个免费的开源工具。
编辑/更新:
也请查看 Phpida 和 Scalp。它们是寻找 HTTP 攻击、SQL 注入等的安全分析器。
http://sourceforge.net/projects/phpida/
http://code.google.com/p/apache-scalp/
答案2
查看网络取证
它是一个基于 PHPIDS 的脚本(根据 GPL2 发布),用于扫描您的 HTTPD 日志文件以查找针对 Web 应用程序的攻击。
特征:
- 支持标准日志格式(通用、组合)
- 允许用户定义(mod_log_config 语法)格式
- 通过 PHPIDS 自动传输你的网络日志
- 按类型、影响、日期、主机等对所有事件进行分类...
- 生成 CSV、HTML(可排序表)、XML 格式的报告