LORG


Описание LORG

LORG — анализатор безопасности лог файлов Apache, это инструмент для расширенного анализа безопасности журналов HTTPD.

Файлы журналов веб-сервера являются основным источником информации для восстановления хода событий, если ваш веб-сайт был повреждён из-за уязвимых веб-приложений. Однако извлечение соответствующей информации из огромных файлов может быть сложной задачей. LORG — это инструмент, предназначенный на специалистов по безопасности и администраторов, чтобы упростить поиск «иголки в стоге сена» (то есть уязвимое веб-приложение) в сценарии судебной экспертизы после атаки. Он нацелен на реализацию различных современных подходов к обнаружению атак на веб-приложения в журналах HTTP-трафика (например, в журналах доступа Apache (файлы access_log)), включая методы на основе сигнатур, статистики и машинного обучения. Обнаруженные инциденты впоследствии группируются в сеансы, которые классифицируются как «ручные» или автоматизированные, чтобы определить, является ли злоумышленник человеком или машиной. Кроме того, могут быть выполнены геотаргетинг и поиск DNSBL, чтобы увидеть, происходят ли атаки с определённой геолокации или ботнета. Кроме того, атаки могут быть определены количественно с точки зрения успеха или неудачи на основе аномалий в пределах размера ответов HTTP, кодов ответов HTTP или активного воспроизведения подозрительных запросов.

Домашняя страница: https://github.com/jensvoid/lorg

Автор: Jens Müller

Лицензия: GPLv2

Справка по LORG

Использование:

lorg [-i тие_ввода] [-o тип_вывода] [-d режим_выявления]
            [-a дополнительный_вектор] [-c client_ident] [-b dnsbl_type]
            [-q quantification] [-t порог] [-v вербальность]
            [-n] [-u] [-h] [-g] [-p] файл_ввода [файл_вывода]

Опции:

 -i формат ввода. Варианты: common combined vhost logio cookie
 -o формат вывода. Варианты: html json xml csv
 -d режимы выявления. Варианты: chars phpids mcshmm dnsbl geoip all
 -a дополнительные векторы атаки. Варианты: path argnames cookie agent all
 -c идентификаторы клиентов. Варианты: host session user logname all
 -b типы dnsbl. Варианты: tor proxy zombie spam dialup all
 -q типы определения количества. Варианты: status bytes replay all
 -t уровень порога в качестве величины от 0 до n (по умолчанию: 10)
 -v уровень вербальности в виде значения от 0 до 3 (по умолчанию: 1)
 -n не суммировать результаты, выводить единичные инциденты
 -u выполнять URL-декодирование для кодированных запросов (влияет только на отчёты)
 -h попытаться преобразовать числовые адреса в имена хостов
 -g включить геотэгин (нужны отдельные файлы!)
 -p выполнить наивный тест на обнаружение взлома в лог-файле

Руководство по LORG

Страница man отсутствует.


Примеры запуска LORG

Составить отчёт по указанном файлу журнала доступа Apache (/var/log/apache2/access.log), выполнять URL-декодирование для кодированных запросов (-u), при этом лог в комбинированном формате (-i combined), для отчёта включить геотэгин (-g):

./lorg -u -i combined -g /var/log/apache2/access.log

Будет выведено примерно следующее:


[#] No output file format given - using 'html'
[#] No output file given - using 'report_22-Aug-2019-171224.html'
[#] No detect mode given - using 'chars'
[#] No threshold given - using default value '10'
[#] No client identifier given - using 'host'
[#] Non-binary urlencoded requests will be decoded
[>] Processing 1024 lines of input file 'access.log' [100%]
[>] Creating summary for 'access.log'

    Found 5 incidents from 1 clients

[>] Check out 'report_22-Aug-2019-171224.html' for a complete report

Был создан файл отчёта с именем report_22-Aug-2019-171224.html. Откроем его в веб-браузере:

firefox report_22-Aug-2019-171224.html

Установка LORG

Установка в Kali Linux

sudo apt install php-xml php-mbstring php-gd
git clone https://github.com/jensvoid/lorg
cd lorg

Также рекомендуется увеличить количество выделенной памяти PHP скрипту с помощью директивы memory_limit в файле php.ini для того, чтобы избежать ошибок при парсинге больших файлов. Подробности, как это сделать, смотрите в статье «Как увеличить память и время для PHP скриптов».

Установка в BlackArch

Программа предустановлена в BlackArch.

sudo pacman -S lorg php-gd

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты LORG

Инструкции по LORG


Близкие программы:

  • ARTLAS (100%)
  • GoAccess (88.8%)
  • Loki (62.5%)
  • Bash Scanner (61.3%)
  • simple findbackdoor (57.5%)
  • mitmcanary (RANDOM - 57.5%)
  • Рекомендуется Вам:

    Comments are Closed