LORG
Описание LORG
LORG — анализатор безопасности лог файлов Apache, это инструмент для расширенного анализа безопасности журналов HTTPD.
Файлы журналов веб-сервера являются основным источником информации для восстановления хода событий, если ваш веб-сайт был повреждён из-за уязвимых веб-приложений. Однако извлечение соответствующей информации из огромных файлов может быть сложной задачей. LORG — это инструмент, предназначенный на специалистов по безопасности и администраторов, чтобы упростить поиск «иголки в стоге сена» (то есть уязвимое веб-приложение) в сценарии судебной экспертизы после атаки. Он нацелен на реализацию различных современных подходов к обнаружению атак на веб-приложения в журналах HTTP-трафика (например, в журналах доступа Apache (файлы access_log)), включая методы на основе сигнатур, статистики и машинного обучения. Обнаруженные инциденты впоследствии группируются в сеансы, которые классифицируются как «ручные» или автоматизированные, чтобы определить, является ли злоумышленник человеком или машиной. Кроме того, могут быть выполнены геотаргетинг и поиск DNSBL, чтобы увидеть, происходят ли атаки с определённой геолокации или ботнета. Кроме того, атаки могут быть определены количественно с точки зрения успеха или неудачи на основе аномалий в пределах размера ответов HTTP, кодов ответов HTTP или активного воспроизведения подозрительных запросов.
Домашняя страница: https://github.com/jensvoid/lorg
Автор: Jens Müller
Лицензия: GPLv2
Справка по LORG
Использование:
lorg [-i тие_ввода] [-o тип_вывода] [-d режим_выявления] [-a дополнительный_вектор] [-c client_ident] [-b dnsbl_type] [-q quantification] [-t порог] [-v вербальность] [-n] [-u] [-h] [-g] [-p] файл_ввода [файл_вывода]
Опции:
-i формат ввода. Варианты: common combined vhost logio cookie -o формат вывода. Варианты: html json xml csv -d режимы выявления. Варианты: chars phpids mcshmm dnsbl geoip all -a дополнительные векторы атаки. Варианты: path argnames cookie agent all -c идентификаторы клиентов. Варианты: host session user logname all -b типы dnsbl. Варианты: tor proxy zombie spam dialup all -q типы определения количества. Варианты: status bytes replay all -t уровень порога в качестве величины от 0 до n (по умолчанию: 10) -v уровень вербальности в виде значения от 0 до 3 (по умолчанию: 1) -n не суммировать результаты, выводить единичные инциденты -u выполнять URL-декодирование для кодированных запросов (влияет только на отчёты) -h попытаться преобразовать числовые адреса в имена хостов -g включить геотэгин (нужны отдельные файлы!) -p выполнить наивный тест на обнаружение взлома в лог-файле
Руководство по LORG
Страница man отсутствует.
Примеры запуска LORG
Составить отчёт по указанном файлу журнала доступа Apache (/var/log/apache2/access.log), выполнять URL-декодирование для кодированных запросов (-u), при этом лог в комбинированном формате (-i combined), для отчёта включить геотэгин (-g):
./lorg -u -i combined -g /var/log/apache2/access.log
Будет выведено примерно следующее:
[#] No output file format given - using 'html' [#] No output file given - using 'report_22-Aug-2019-171224.html' [#] No detect mode given - using 'chars' [#] No threshold given - using default value '10' [#] No client identifier given - using 'host' [#] Non-binary urlencoded requests will be decoded [>] Processing 1024 lines of input file 'access.log' [100%] [>] Creating summary for 'access.log' Found 5 incidents from 1 clients [>] Check out 'report_22-Aug-2019-171224.html' for a complete report
Был создан файл отчёта с именем report_22-Aug-2019-171224.html. Откроем его в веб-браузере:
firefox report_22-Aug-2019-171224.html
Установка LORG
Установка в Kali Linux
sudo apt install php-xml php-mbstring php-gd git clone https://github.com/jensvoid/lorg cd lorg
Также рекомендуется увеличить количество выделенной памяти PHP скрипту с помощью директивы memory_limit в файле php.ini для того, чтобы избежать ошибок при парсинге больших файлов. Подробности, как это сделать, смотрите в статье «Как увеличить память и время для PHP скриптов».
Установка в BlackArch
Программа предустановлена в BlackArch.
sudo pacman -S lorg php-gd
Информация об установке в другие операционные системы будет добавлена позже.
Скриншоты LORG
Инструкции по LORG
- Логи Apache (ч. 1): Виды и модули журналов. Формат логов доступа Apache
- Логи Apache (ч. 2): Формат логов ошибок. Журнал событий модулей
- Логи Apache (ч. 3): Программы для анализа логов Apache
Comments are Closed