Was ich brauche, ist ein forensisches Protokollanalysetool, mit dem Apache die Nachberechnung eines erfolgreichen Missbrauchs von Serviceangriffen durchführen kann, der 2-3 Monate in der Vergangenheit stattgefunden hat. Wir betreiben einen Shared-Hosting-Service, und einer unserer Kunden scheint (oder hatte) ein ausnutzbares Skript ausgeführt. Ich vermute, dass ich Hinweise und Hinweise in den Protokollen finden könnte, aber sie sind einfach zu groß, um sie manuell durchzublättern oder aus ihnen Ausdrücke zu erstellen.
Gibt es ein Werkzeug, das dies kann und Suchmuster für bekannte Angriffe und möglicherweise sogar Heuristiken vordefiniert hat, um verdächtige Aktivitäten zu entdecken?
Ich suche nicht nach einem Tool, um solche Versuche in Echtzeit zu blockieren, weil ich die Protokolle der Vergangenheit analysieren und prüfen muss, ob der Exploit geschlossen wurde.
Wahrscheinlich kann AWStats Ihnen helfen. Es ist ein kostenloses und Open Source-Tool.
Bearbeiten / Aktualisieren:
Überprüfen Sie auch Phpida und Scalp. Sie sind Sicherheitsanalysatoren, die nach HTTP-Angriffen, SQL-Injection usw. suchen.
Http://sourceforge.net/projects/phpida/
http://code.google.com/p/apache-scalp/
Schauen Sie sich WebForensik an
Hierbei handelt es sich um ein PHPIDS-basiertes Skript (veröffentlicht unter GPL2), mit dem Sie Ihre HTTPD-Protokolldateien nach Angriffen auf Webanwendungen durchsuchen können.
Eigenschaften: