Форензика. Методическое пособие для студентов. Андрей Александрович Обласов

Чтение книги онлайн.

СКАЧАТЬ период хранения (ротации). Если логов нет, но нужно выполнить анализ за последние несколько дней, их можно попробовать запросить в тех поддержке хостинга. На большинстве shared-хостингов логи можно найти в директории logs, которая расположена на один или два уровня выше директории public_html (www). Итак, будем считать, что логи на хостинге есть и путь до них известен.

      Подключаемся по SSH и переходим в директорию с логами веб-сервера, которые на виртуальных хостингах хранятся обычно за последние 5—7 дней. Если вывести список файлов в директории, скорее всего там будет access_log за сегодняшний день, а также access_log.1.gz, access_log.2.gz,… – это архивированные логи за предыдущие дни.

      Начать анализ лога можно с запросов, которые были выполнены методом POST:

      grep «POST /’ access_log

      или

      cat access_log | grep «POST /»

      Результат вывода можно сохранить в новый текстовый файл для дальнейшего анализа:

      grep «POST /’ access_log> post_today. txt

      Как сделать то же для лога, заархивированного gzip? Для этого есть команда zcat (аналогично cat, но распечатывает содержимое заархивированного файла).

      zcat access_log.1.gz | grep «POST /’> post_today. txt

      Для анализа подозрительной активности желательно использовать выборку по всем доступным логам. Поэтому далее в примерах будем использовать команду find, которая выполнит поиск всех файлов, а затем выполнит для каждого соответствующую команду (например, zcat).

      Как определить попытки взлома или поиска уязвимых скриптов?

      Например, можно найти все обращения к несуществующим скриптам. php во всех доступных логах.

      grep ’php HTTP.* 404» access_log

      find. -name «*.gz’ -exec zcat {} \; | grep ’php HTTP.* 404»

      (вместо -exec можно использовать xarg для вызова zcat.)

      Еще можно поискать все неуспешные обращения к скриптам php (к которым был закрыт доступ).

      find. -name «*.gz’ -exec zcat {} \; | grep ’php HTTP.* 403»

      Здесь мы ищем запросы, в которых встречается расширение php и статус 403.

      Далее посмотрим по всем доступным логам число успешных обращений к скриптам, отсортируем их по числу обращений и выведем ТОП-50 самых популярных. Выборку сделаем в три шага: сначала выполним поиск по access_log, затем по всем access_log.*.gz, выведем результаты в файл, а затем используем его для сортировки.

      find. -name «*.gz’ -exec zcat {} \; | grep ’php HTTP.* 200»> php. txt

      grep ’php HTTP.* 200» access_log>> php. txt

      cut -d «"» -f2 php. txt | cut -d ' ' -f2 | cut -d»?» -f1 | sort | uniq -c | sort -n | tail -50

      Для сайта на Wordpress результат может выглядеть так:

      (примеры для Wordpress приведены исключительно для иллюстрации, в действительности описанный подход и команды не ограничиваются данной CMS. Приведенные команды можно использовать для анализа журналов веб-сервера сайтов, работающих на любых php фреймворках и системах управления (CMS), а также просто на php скриптах.)

      1 /wp-admin/edit.php

      1 /wp-admin/index.php

      1 /wp-admin/update-core.php

      1 /wp-admin/upload.php

      2 СКАЧАТЬ