تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی

سلام

در آخرین روز از سال ۲۰۱۴ میلادی سایت infosecinstitute مطلبی رو با عنوان «تحلیل لاگ‌فایل‌ها در حملات تحت وب: سطح مبتدی» منتشر کرد که به نظر من زیادی توضیح داده بود و شاید حوصله ی خیلی ها نکشه همه‌اش رو بخونند. یه جورایی خلاصه‌اش کردم.

در این آموزش قرار لاگ‌فایل های آپاچی سرور رو به منظور کشف بعضی از حملاتی که به وب اپلیکیشن ها میشه؛ چک کنیم.

beginnerApacheLogAnalysis1

فایل های لاگ آپاچی در لینوکس در آدرس زیر قرار دارند:

/var/log/apache2

که ممکنه بیشتر از یکی هم باشند.

۱- توی این فایل ها دنبال عباراتی که در حملات SQLi از اون ها استفاده می شه می گردیم؛ (مثل union select)

beginnerApacheLogAnalysis3

۲- یک کار دیگه هم که میشه کرد و البته خیلی وقت گیره  و اون جستجوی single quot یا همون ' در URLهاست. برای این کار باید 27% که اینکد شده ی این کارکتره رو جستجو کنید.

beginnerApacheLogAnalysis2

۳- علاوه بر اون ممکنه هکر به دنبال فایل های مهم مثل passwd باشه. (که در روش هایی مثل path traversal هم صدق می کنه) برای همین این مورد رو جستجو می کنیم:

/etc/passwd

beginnerApacheLogAnalysis4

۴- اگر هکر از برنامه های اسکنر استفاده کرده باشه به احتمال زیاد در درخواست هایی که به سایت ارسال میشه نشونی از اون ها وجود داره. مثلا کلمه ی appscan مربوط به اسکنر appscan از IBM

برای اینکه کار جستجو و مدیریت اون رو راحت تر انجام بدید می تونید از LibreOffice Calc در لینوکس یا Excel در ویندوز استفاده کنید.

۵- ممکنه هکر بعد از حمله روی وب سرور شما shell آپلود کرده باشه. و شما برای پیدا کردن این شل می تونید اسم شل‌های مشهور رو جستجو کنید. البته یادتون باشه که معمولا هکرها اسم شل ها رو به یک نام های دیگه ای تغییر می دند که وقتی شما اونها رو دیدید بهش مشکوک نشید.

beginnerApacheLogAnalysis5

و در انتها ابزاری به زبان پایتون که این کار رو برای شما راحت تر می کنه: ابزار apache-scalp

** در هر مورد، آی پی هکر هم معلومه. البته خیلی بهش دل نبندید چون در اکثر مواقع هکر ها از زامبی استفاده می کنند :(

مترجم و خلاصه کننده: تمدن