Ya hemos escrito sobre PHPIDS como solución para la detección de intentos de intrusión, pero hoy queríamos ampliar esta información con una herramienta de Romain Gaucher, llamada scalp, que permite en base a un fichero de registros de un servidor web detectar ataques, usando las propias reglas de PHPIDS.
Su uso es muy sencillo, consiste en un script programando en Python, (aunque está anunciada una futura versión en C++ multithread) que se ha de ejecutar pasándole como argumento el archivo a analizar, como por ejemplo, el archiconocido "access_log" de un Apache. A partir de ahí, generará un informe con las coincidencias detectadas.
Para instalarlo, basta con descargar el script de esta dirección: http://apache-scalp.googlecode.com/files/scalp-0.2.py, así como las reglas en formato XML actualizadas de PHPIDS, de la siguiente URL: https://svn.php-ids.org/svn/trunk/lib/IDS/default_filter.xmly dejarlas en el mismo directorio.
La siguiente imagen muestra la pantalla de ayuda al ejecutar sin argumentos la herramienta.
Mediante el argumento "-l" se indica cual es el fichero de logs, generando la salida en el formato deseado, por defecto en texto.
El siguiente ejemplo muestra un informe del resultado.
Su uso es muy sencillo, consiste en un script programando en Python, (aunque está anunciada una futura versión en C++ multithread) que se ha de ejecutar pasándole como argumento el archivo a analizar, como por ejemplo, el archiconocido "access_log" de un Apache. A partir de ahí, generará un informe con las coincidencias detectadas.
Para instalarlo, basta con descargar el script de esta dirección: http://apache-scalp.googlecode.com/files/scalp-0.2.py, así como las reglas en formato XML actualizadas de PHPIDS, de la siguiente URL: https://svn.php-ids.org/svn/trunk/lib/IDS/default_filter.xmly dejarlas en el mismo directorio.
La siguiente imagen muestra la pantalla de ayuda al ejecutar sin argumentos la herramienta.
Mediante el argumento "-l" se indica cual es el fichero de logs, generando la salida en el formato deseado, por defecto en texto.
El siguiente ejemplo muestra un informe del resultado.
0 comments :
Publicar un comentario