在 web 系统遭受攻击之后,通常要审计 web 日志来寻找蛛丝马迹,那么有没有可以满足需求的自动化工具呢?今天就来尝试一款开源工具 teler,项目地址:
https://github.com/kitabisa/teler/
先来看一张作者测试图:
图中可以看到作者使用 nuclei 作为攻击工具测试改工具的使用效果,首先使用 teler 监控 web 的 access.log,然后启动 nuclei 进行攻击尝试,结果中出现了审计之后的结果,还能看到攻击命中的规则,比如 CVE 漏洞,暴力破解尝试。
接下来我们也尝试一下,需要准备两个东西:
1、web 攻击日志
2、程序检测规则
web 日志,可以随便找个攻击工具,对 web 服务器测试一下,然后把日志保存下来即可,比如:
关于程序的审计规则配置,可以参考官方文档:
https://teler.app/getting-started
首先根据日志的类型,定义的日志的格式,比如测试用的 nginx:
对于不常见的格式,可以根据日志格式自定义,参考:
https://teler.app/configuration/log-format
接下来设置审计规则,为了方便,直接使用其默认的规则库,如果特殊需求,也可以自定义检测规则,配置如图:
其他部分可以跟随配置,不用管,接下里使用命令制定规则配置和日志文件即可:
./teler -i access.log -c ids.yaml
结果中可以看到审计完成,直接将攻击利用的漏洞都审计出来了,看上去效果还不错。
除此之外,还支持在线查看,事件提醒等能力,具体如何玩,还看大家的需求。