Categoría:SpiderAssassin

SpiderAssassin es un proyecto de creación de un programa para servidores que haga estadísticas de uso para determinar anomalías en el acceso e interacción con páginas web que permita discernir el uso no legítimo del servidor web como spiders de spam de comentarios o spiders de agujeros de seguridad. En un futuro, puede llegar a determinar qué es normal y qué no en una web determinada y enviar al cortafuegos el que supere una determinada puntuación de no-normal. La base de datos del servicio será compartida entre todos los servidores que lo estén usando.

La implementación técnica consta de 4 partes:

• Un core en perl
• Un frontend en PHP
• El uso de fail2ban por escribir al iptables
• El uso de .htaccess a la raíz de cada lugar web

La licencia es Affero GPL v.3.

El estado del proyecto es: inicio del desarrollo. Para colaborar envía un mail a al(arroba)blogmail.cc y a kenneth(arroba)gnun.net

[editar] Introducción

En general, los IDS (intrusion detection systems) buscan patrones en las URL's / logs de apache, y deniegan en función de éstos. (URL = '=http://' , 'SELECT '../../etc. Method Disabled = TRAZO, TRACK, HEDO, MKCOL ...).

Desgraciadamente, estos sistemas requieren continúa actualización manual, pues cada día hay nuevos patrones a buscar.

Los antes citados IDS, pueden servir para evitar entre un 85% y 90% (según ellos) de los ataques, pero no hacen casi nada contra el Spam, que de hecho es un porcentaje importante de los recursos y el tiempo de gestión/administración de los servidores web. Aunque haya un CAPTCHA, éste no reduce la carga (de CPU, RAM, bbdd y disco) que provoca un continuo acceso a estas URLs.

El problema es que los IDS no detectan otros patrones si se tiene en consideración la variable temporal, puesto que no son diseñados para lo cual, pero que son determinables fácilmente. Es la tarea de este proyecto guardar en la base de datos estos patrones y hacer un estudio sobre ellos.

Algo que no pueden evtiar los chinos: generar basura de manera industrial. Son unos genios de lo ffatil.Pronto veremos nuestros contenedores repletos de aparatitos multicolores.Esto ya existe en forma de software, se llama , y puedes crear tus propios loops infinitos y aleatorios, para crear ambiente.Pero con la ventaja de no llenar el mundo de pilas, ple1stico, altavoces, y deme1s basura.Como nos toman el pelo los chinos!Son unos genios.

[editar] Trabajo

[editar] Enviar los logs a Base de datos

Así pues, para no inventar toda la rueda, la idea es usar el "backend" del fail2ban, y enviar la información analizada sobre los atacantes al syslog. Vía syslog, el fail2ban recoge los datos y las gestiona (lista blanca de IP's y bloqueo/desbloqueo automático con tiempo de bloqueo por regla, etc...).

Estado de esta parte: hay scripts que se ejecutan a mano y hacen todo este chanchullo y funcionan bastante bien. El módulo mod_log_sql de apache guarda los logs en la base de datos. Está disponible en Debian 5.

[editar] Leer Base de datos datos de logs vía http

La "consola" PHP sería una clase de "super sistema de estadísticas web", que permite ver individualizadamente o de forma cruzada los diferentes sites protegidos, denegar / autorizar una IP, saber la ruta de instalación, etc.... muy útil para probar de identificar un ataque desconocido. Con unas horas más, incluso puede ayudar a crear las expresiones regulares necesarias para crear archivos .htaccess que protejan un lugar web específica.

Así, el sistema devuelve feedback a los admins, y los admins pueden usar esta consola para gestionar el sistema. El sistema puede funcionar sin una consola, o, al menos, a la misma máquina, pues si el sistema está hecho lo suficiente abierto, puede ser usado para identificar patrones de ataque/abuso en otros protocolos ftp, irc,...

Comenzamos a trabajar con Skeith mod_log_sql Analyzer.

[editar] Protección de las máquinas

Dos técnicas:

• fail2ban: bloqueo de IP's a nivel iptables. Práctico para bloquear un ataque ya sufrido.
• .htaccess en la raíz de cada stio web con reglas mantenidas automáticamente por nuestro sistema, que protegerá las URL's atacadas mediante patrones de expresiones regulares. Esto tiene la ventaja que elimina futuros atacantes al vez que permite un uso legítimo y reduce mucho la carga.