URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64671
[ Назад ]

Исходное сообщение
"Анализатор логов."
Отправлено БСО , 09-Мрт-06 13:52

Здравствуйте.
Существует ли анализатор логом, на предмет противоправных действий, для апача. Или хотя бя анализаотор который разбивает лог по статусу запроса?
Просматривать ручками стало тяжело. А поиск показывает ссылки на проги для анализа посещаемости, а не подозрительных запросов.
Спасибо.

Содержание

Анализатор логов.,gr, 15:22 , 09-Мрт-06
- Анализатор логов.,БСО, 15:30 , 09-Мрт-06
- Анализатор логов.,БСО, 15:35 , 09-Мрт-06

Сообщения в этом обсуждении

"Анализатор логов."
Отправлено gr , 09-Мрт-06 15:22

>Здравствуйте.
>Существует ли анализатор логом, на предмет противоправных действий, для апача. Или хотя
>бя анализаотор который разбивает лог по статусу запроса?
>Просматривать ручками стало тяжело. А поиск показывает ссылки на проги для анализа
>посещаемости, а не подозрительных запросов.
>
>Спасибо.

возможно, что на самом деле тебе нужен mod_security

"Анализатор логов."
Отправлено БСО , 09-Мрт-06 15:30

>>Здравствуйте.
>>Существует ли анализатор логом, на предмет противоправных действий, для апача. Или хотя
>>бя анализаотор который разбивает лог по статусу запроса?
>>Просматривать ручками стало тяжело. А поиск показывает ссылки на проги для анализа
>>посещаемости, а не подозрительных запросов.
>>
>>Спасибо.
>
>
>возможно, что на самом деле тебе нужен mod_security
он у меня стоит

"Анализатор логов."
Отправлено БСО , 09-Мрт-06 15:35

частенько возникают ситуации когда сканируют сайт. появляется нечно подобное:
GET /cgi-bin/modules.php?name=gallery&files=foobar HTTP/1.1" 404 217
37:19 "GET /scripts/modules.php?name=gallery&files=foobar HTTP/1.1" 404 217
37:19 "GET /modules.php?name=gallery&files=foobar HTTP/1.1" 404 209
37:22 "GET /cgi-bin/catalog.php?action=category_show&id=' HTTP/1.1" 404 217
37:22 "GET /scripts/catalog.php?action=category_show&id=' HTTP/1.1" 404 217
37:23 "GET /catalog.php?action=category_show&id=' HTTP/1.1" 404 209
37:26 "GET /foo.jsp?param=<SCRIPT>foo</SCRIPT>.jsp HTTP/1.1" 404 205
37:26 "GET /foo.shtml?param=<SCRIPT>foo</SCRIPT>.shtml HTTP/1.1" 404 207
37:27 "GET /foo.thtml?param=<SCRIPT>foo</SCRIPT>.thtml HTTP/1.1" 404 207
37:27 "GET /foo.cfm?param=<SCRIPT>foo</SCRIPT>.cfm HTTP/1.1" 404 205
37:27 "GET /foo.php?param=<SCRIPT>foo</SCRIPT>.php HTTP/1.1" 404 205
37:28 "GET /<SCRIPT>foo</SCRIPT> HTTP/1.1" 404 230

было бы неплохо что бы анализатор отлавливал такие моменты, а так же было бы хорошо что бы показывал обращение например к phpmyadmin, еще попытки атаки на переполнение буфера когда бытаются впихнуть в POST запрос размеров больше 64 килобайта, либо белеберду типа \х00 пускают. ну так далее.