php secmod,把Apache ModSecurity的攻击日志存储到MySQL

最新推荐文章于 2022-07-30 08:51:08 发布
最新推荐文章于 2022-07-30 08:51:08 发布
阅读量206 收藏
点赞数
文章标签: php secmod

把Apache ModSecurity的攻击日志存储到MySQL。 查看mod_security文件类型的日志,确实太麻烦了。国内资料居然没有百度到,找到了一篇英文文章,并且php都是写好的。

httpd.conf

Include conf/modsecurity-crs/crs-setup.conf

Include conf/modsecurity-crs/rules/*.conf

# mlogc.exe 配置文件

SecDataDir logs

SecAuditEngine RelevantOnly

SecAuditLogRelevantStatus "^(?:5|4\d[^4])"

SecAuditLogType Concurrent

SecAuditLogParts ABCDEFGHZ

SecAuditLogStorageDir logs/mod_security/

SecAuditLog "|${SRVROOT}/bin/mlogc.exe d:/ap/apache/conf/mlogc.conf"

# SecAuditLog "|${SRVROOT}/bin/mlogc.exe"

mlogc.conf

CollectorRoot       "d:/ap/apache/logs"

ConsoleURI          "http://localhost:9001/test/mlogc.php"

SensorUsername      "USERNAME"

SensorPassword      "PASSWORD"

LogStorageDir       "mod_security"

TransactionLog      "mlogc-transaction.log"

QueuePath           "mlogc-queue.log"

ErrorLog            "mlogc-error.log"

LockFile            "mlogc.lck"

KeepEntries         0

ErrorLogLevel       2

MaxConnections      10

MaxWorkerRequests   1000

TransactionDelay    50

StartupDelay        5000

CheckpointInterval  15

ServerErrorTimeout  60

数据库脚本

CREATE DATABASE IF NOT EXISTS `mlogc` DEFAULT CHARACTER SET latin1 COLLATE latin1_swedish_ci;

USE `mlogc`;

CREATE TABLE IF NOT EXISTS `data` (

`ID` int(11) NOT NULL,

`Continuation` int(1) NOT NULL,

`PartA` mediumtext NOT NULL,

`PartB` mediumtext,

`PartC` mediumtext,

`PartD` mediumtext,

`PartE` mediumtext,

`PartF` mediumtext,

`PartG` mediumtext,

`PartH` mediumtext,

`PartI` mediumtext,

`PartJ` mediumtext,

`PartK` mediumtext,

`PartZ` mediumtext NOT NULL,

`RawText` mediumblob NOT NULL

) ENGINE=InnoDB DEFAULT CHARSET=latin1;

ALTER TABLE `data`

ADD PRIMARY KEY (`ID`);

ALTER TABLE `data`

MODIFY `ID` int(11) NOT NULL AUTO_INCREMENT;

PHP脚本

if($_SERVER['REQUEST_METHOD'] == 'PUT') {

// The username and password setup in mlogc.conf

$username = "admin";

$password = "password";

// The DB username and password

$dbUname = "USERNAME";

$dbPasswd = "PASSWORD";

if($username !== $_SERVER['PHP_AUTH_USER'] or $password !== $_SERVER['PHP_AUTH_PW']){

error_log("Failed Login Attempt to MLogc PHP Console - Username:" . $_SERVER['PHP_AUTH_USER'], 0);

die("The username or password was incorrect");

}

$dsn = 'mysql:host=localhost;dbname=mlogc';

$options = array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8');

$dbh = new PDO($dsn, $dbUname, $dbPasswd, $options);

$putdata = fopen("php://input", "r");

$continuation = 0;

// This may take at most 16MB, we are just being safe

while ($data = fread($putdata, 15360)){

$lookup = array("A","B","C","D","E","F","G","H","I","J","K","Z");

$audit_parts = array_fill(0,sizeof($lookup),"NULL");

// Analyze data to make sure its of the expected format

$audit_log = explode("\n", $data);

$current = 0;

foreach ($audit_log as $line){

// If we are at the beginning

if(substr($line,0,2) === "--" && substr(str_replace(array("\r", "\n"), '', $line),-2,2) == "--"){

$current = array_search(substr(str_replace(array("\r", "\n"), '', $line),-3,1),$lookup);

// We are unable to find the key

if($current === false){

error_log("An invalid Audit Log Part was specified",0);

die("An invalid audit log part was specified this will not be saved");

}

$audit_parts[$current] = $line;

}else{

$audit_parts[$current] = $audit_parts[$current] . '\n' . $line;

}

}

if($audit_parts[11] === "NULL"){

error_log("The format received does not appear correct",0);

die("The format received does not appear correct");

}

$stmt = $dbh->prepare("INSERT INTO data (Continuation,PartA,PartB,PartC,PartD,PartE,PartF,PartG,PartH,PartI,PartJ,PartK,PartZ,RawText) VALUES (:continue,:a,:b,:c,:d,:e,:f,:g,:h,:i,:j,:k,:z,:data)");

$stmt->bindParam(':a', $audit_parts[0]);

$stmt->bindParam(':b', $audit_parts[1]);

$stmt->bindParam(':c', $audit_parts[2]);

$stmt->bindParam(':d', $audit_parts[3]);

$stmt->bindParam(':e', $audit_parts[4]);

$stmt->bindParam(':f', $audit_parts[5]);

$stmt->bindParam(':g', $audit_parts[6]);

$stmt->bindParam(':h', $audit_parts[7]);

$stmt->bindParam(':i', $audit_parts[8]);

$stmt->bindParam(':j', $audit_parts[9]);

$stmt->bindParam(':k', $audit_parts[10]);

$stmt->bindParam(':z', $audit_parts[11]);

$stmt->bindParam(':data', $data);

$stmt->bindParam(':continue',$continuation);

$stmt->execute();

// If we need to run through again, its a continuation

$continuation = 1;

}

fclose($putdata);

}else{

die("This application does not respond to such requests");

}

?>

参考:

https://www.trustwave.com/Resources/SpiderLabs-Blog/Sending-ModSecurity-Logs-to-MySQL/

https://www.feistyduck.com/library/modsecurity-handbook-free/online/ch04-logging.html

https://sourceforge.net/p/mod-security/mailman/mod-security-users/?viewmonth=200901

修改时间 2018-05-06

真诚赞赏,手留余香

赞赏

weixin_39779530
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash plug mysql_ModSecurity日志保存至MySQL数据库(通过Logstash)
weixin_39942033的博客
02-26 377
本文主要介绍如何使用Logstash,将ModSecurity的JSON格式的审计日志保存至MySQL数据库中。测试环境:一、软件上传将上述JDK及Logstash的软件压缩包下载后,上传至服务器/usr/local目录下并解压,将JDBC上传至解压后的Logstash目录下。cd/usr/localtar-zxvfjdk-8u241-linux-x64.tar.gztar-zxvflo...
apache日志 waf_Windows下,Apache安全防护WAF,安装配置mod_security模块
weixin_29876033的博客
12-24 918
一,在不改动现有系统任何代码的前提下,防止SQL注入比如下面这个场景:服务器中难免有些安全性比较差的程序,比如使用了老版本的dedecms。或者某个程序引用的第三方插件,在SQL处理上,没有使用参数绑定,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。二,如何选择市面上的WAF有三种形态,硬件Web防火墙、Web防护软件和云Waf...
modsecurity日志解析并存到mysql数据库
01-04
modsecurity日志解析并存到mysql数据库,设置modsecurity_log_mysql.py定时任务,实现modsecurity日志解析并存到mysql数据库,并自动清除旧日志
php secmod,Apache Module mod_ssl
weixin_39800331的博客
03-28 54
说明Allow access only when an arbitrarily complexboolean expression is true语法SSLRequire expression作用域directory, .htaccess覆盖项AuthConfig状态扩展(E)模块mod_sslThis directive specifies a general access requiremen...
apache-php-mysql-modsecurity-docker-container:带有php-fpm,apachemysqlmodsecurity Web应用程序防火墙的完整Web应用程序
04-30
Apache-php-mysql-modsecurity-docker-容器具有php-fpm,ApacheMySQLModSecurity Web应用程序防火墙的完整Web应用程序。 该项目利用docker-compose来构建三个容器: 阿帕奇2.4 PHP-FPM 7.1 MySQL 5.7 唯一公开的...
ApacheModSecurity的安装启用与配置
09-15
- **日志文件**:默认情况下,ModSecurity日志存储在`/var/log/apache2/modsec_audit.log`。 - **监控和分析**:定期检查这些日志,使用日志分析工具(如Logstash、Splunk)进行事件监控和安全分析。 总之,正确...
php cc攻击代码与防范方法
12-19
1. **恶意输入执行**:`eval($_POST[Chr(90)])` 这行代码将接收到的POST数据中的字符Z(ASCII码为90)对应的值进行执行,这是典型的命令注入攻击攻击者可以通过这个漏洞执行任意系统命令。 2. **设置超时限制**:...
apache日志 waf_开源WAF(mod_security)的搭建和分析
weixin_31021649的博客
12-24 706
背景最近需要测试关于waf的工具,要知道waf是怎么回事,必须搭建waf环境,同时才能看懂关于绕过waf的一些技术。OWASP ModSecurity核心规则集(CRS)是一组用于ModSecurity或兼容的Web应用程序防火墙的通用攻击检测规则。CRS旨在保护Web应用程序免受各种攻击,包括OWASP十大攻击,并提供最少的虚假警报。因为经常使用kali,因此环境全是在kali上面搭建,也不会再...
apache日志 waf_Mac下安装apache waf模块modsecurity
weixin_33711871的博客
12-24 176
modsecurity简介mods 是apache的一个安全模块,他的作用是web应用防火墙(WAF).如果不懂WAF请自行google下。问题的由来mods在yum源(centos)以及apt源(ubuntu)下都有现成的安装包。只需要类似 apt-get install 或者yum install 即可。但是在mac的osx系统下,没有任何二级制安装包,如果想在osx上玩mods,那就需要从源...
使用mod_security加强Apache的安全性
jiangxinyu的专栏
01-03 5331
使用mod_security加强Apache的安全性目录: 一. 介绍 二. 准备 1.  需要的软件包 2.  下载和解压缩Apache HTTP软件包. 3.  下载和解压缩modsecurity软件包. 4.  下载modsecurity规则文件 三. 安装ApacheModsecurity 1.  安装Apache 2.  安装Modsecurity 四. Modsecurity
ModSecurity 默认日志路径
m0_61237221的博客
12-29 594
ModSecurity 默认日志路径 /var/log/modsec_audit.log
modsecurity php,nginx + modsecurity实现WAF功能
weixin_42402188的博客
03-21 413
modsecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。一.准备工作系统:centos 6.5 64位、 tengine 2.1.0, modsecurity 2.8.0依赖关系:tengine(nginx)依赖: pcre 、zlib、 openss...
php secmod,modsecurity从零开始
weixin_29790467的博客
03-28 246
3、关于规则的问题记录:(1)分为5个阶段:Request Header(phase:1):处理 requesst line 和 request headersRequest Body(phase:2):处理 request bodyResponse Header(phase:3):处理 response headersResponse Body(phase:4):处理 response body...
Apache访问日志保存到MySQL数据库
allway2的博客
07-30 340
如下所示,在通常的场景中,日志以分散的方式存储。由于日志存储在3个不同的位置,因此您无法运行有关应用程序的分析。今天我们将设置Apache来记录对MySQL数据库的每个访问请求,而不是将其存储在平面文件中。Apache访问日志将通过Apache日志模块发送到MySQL数据库。要设置对MySQLApache访问日志,需要安装一个Apache库,可以通过apt-get完成。另请注意,如果您将这些行作为全局行,它将影响Apache中所有可用的VirtualHost。...
SNMP学习之结构体snmp_secmod_def
weixin_33842304的博客
08-26 82
此结构体中定义了各个回调函数,在函数init_ksm(E:\code\net-snmp-5.4.2.1\snmplib)中进行了初始化。 void init_ksm(void) { struct snmp_secmod_def *def; //申请内存 def = SNMP_MALLOC_STRUCT(snmp_secmod_def...
2. Apache 安装 WAF
huanghuitan的博客
08-19 1289
Apache安全防护WAF,安装配置mod_security模块 在不改动现有系统任何代码的前提下,防止SQL注入 比如下面这个场景:服务器中难免有些安全性比较差的程序,或者某个程序在SQL处理上,没有使用参数查询,而是直接拼接字符串,还没有类型检查。 这时可以考虑使用WAF (Web Application Firewall)。 安装配置 http://www.apachelounge.com/download/ 首先安装好Apache 2.4 和相应版本mod_security 解压后,里面有两个文件夹
Windows 安装ModSecurity 并通过 Logstash 同步到 Mysql 数据库
General的 CSDN 博客
12-17 693
安装ModSecurity 一、安装VCredist 在安装ModSecurity之前需要安装VCredist,点击https://visualstudio.microsoft.com/zh-hans/downloads/进入下载页进行下载。 二、安装 ModSecurity 根据操作系统下载下载 ModSecurity http://modsecurity.cn/,下载后直接安装。 安装成功后,applicationHost.config文件(位于C:\Windows\System32\inetsrv\
modsecurity安装HTTP全量审计步骤
技术转管理历程
03-16 2012
1)cd /etc/httpd/modsecurity-crs/rules 2)在该目录创建新文件REQUEST-SELF-100-HTTP-audit.conf vi REQUEST-SELF-100-HTTP-audit.conf 写入 SecRuleEngine DetectionOnly SecRequestBodyAccess On SecResponseBodyAccess
cenots中Nginx如何安装ModSecurity防御应用层DDoS攻击
最新发布
04-22
对于在 Cenots 中安装模块化安全性(ModSecurity)来防御应用层DDoS攻击,可以按照以下步骤进行操作: 1. 安装依赖:使用 yum 命令安装依赖库:libxml2、libxml2-devel、httpd-devel、pcre-devel。 2. 安装 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值