一键审计 web 日志
2024-3-19 09:19:48 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

在 web 系统遭受攻击之后,通常要审计 web 日志来寻找蛛丝马迹,那么有没有可以满足需求的自动化工具呢?今天就来尝试一款开源工具 teler,项目地址:

https://github.com/kitabisa/teler/

先来看一张作者测试图:

图中可以看到作者使用 nuclei 作为攻击工具测试改工具的使用效果,首先使用 teler 监控 web 的 access.log,然后启动 nuclei 进行攻击尝试,结果中出现了审计之后的结果,还能看到攻击命中的规则,比如 CVE 漏洞,暴力破解尝试。

接下来我们也尝试一下,需要准备两个东西:

1、web 攻击日志

2、程序检测规则

web 日志,可以随便找个攻击工具,对 web 服务器测试一下,然后把日志保存下来即可,比如:

关于程序的审计规则配置,可以参考官方文档:

https://teler.app/getting-started

首先根据日志的类型,定义的日志的格式,比如测试用的 nginx:

对于不常见的格式,可以根据日志格式自定义,参考:

https://teler.app/configuration/log-format

接下来设置审计规则,为了方便,直接使用其默认的规则库,如果特殊需求,也可以自定义检测规则,配置如图:

其他部分可以跟随配置,不用管,接下里使用命令制定规则配置和日志文件即可:

./teler -i access.log -c ids.yaml 

结果中可以看到审计完成,直接将攻击利用的漏洞都审计出来了,看上去效果还不错。

除此之外,还支持在线查看,事件提醒等能力,具体如何玩,还看大家的需求。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247499222&idx=1&sn=fc59d1899f83ea8933eb0a0844a30fdb&chksm=ec1dcdfedb6a44e80bb8946654f48f67b1326fcfa363b2deb54816cac4a31fb5b16a38a8ef9d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh