Существует ли бесплатный анализатор журнала безопасности для apache?
Что мне нужно, так это инструмент судебного анализа журналов для apache, который может выполнить последующую математику успешной атаки на сервисное обслуживание, которая имела место в прошлом 2-3 месяца. У нас есть служба виртуального хостинга, и один из наших клиентов, кажется, имеет (или имел) работающий скрипт. Я подозреваю, что я мог найти подсказки и подсказки в журналах, но они просто слишком велики, чтобы просматривать их вручную или делать с ними регулярные выражения grep.
Существует ли инструмент, который может это сделать и который имеет предопределенные шаблоны поиска для известных атак и, возможно, даже эвристики для обнаружения подозрительных действий?
Я не ищу инструмент для блокирования таких попыток в реальном времени, потому что мне нужно проанализировать прошлые журналы и посмотреть, был ли эксплойт закрыт.
2 ответа
Возможно, AWStats может вам помочь. Это бесплатный инструмент с открытым исходным кодом.
Редактировать /Update:
Проверьте Phpida и скальп, а также. Это анализаторы безопасности, которые ищут HTTP-атаки, SQL-инъекции и т. Д.
http://sourceforge.net/projects/phpida/
http://code.google.com/p/apache-scalp/
Проверьте WebForensik
Это скрипт на основе PHPIDS (выпущенный под GPL2) для сканирования ваших лог-файлов HTTPD на предмет атак на веб-приложения.
Особенности:
- поддерживает стандартные форматы журналов (общий, комбинированный)
- позволяет определенные пользователем форматы (синтаксис mod_log_config)
- автоматически передает ваши веб-журналы через PHPIDS
- классифицирует все инциденты по типу, влиянию, дате, хосту...
- генерирует отчеты в формате CSV, HTML (сортируемая таблица), XML