Hi,
ich wollte mal fragen, wie Ihr in euren Webapplikationen moegliche Angriffe mitloggt, und diese gegebenenfalls unterbindet
Was ist eigentlich sinnvoll zu speichern und wie?
Es gibt ja in der php.ini die Moeglichkeit PHP Fehler in ein error_log zu speichern.
Ist es sinnvoll dort alles zu speichern? Oder eher nur Sachen die mindestens in der
Kategorie E_WARNING sind.
Wie geht ihr vor bei offensichtlich gezielt manipulierten Eingaben. Beispielsweise
beim Entdecken einer sql Injection. Sollte man die IP gleich sperren und mail an admin
rausschicken, oder nur eine Fehlermeldung anzeigen?
Eine generelle Frage is auch, ob es sinnvoll ist error_logs in einer Datenbank zu speichern.
Wie geht man vor wenn gerade die Datenbankverbindung es ist, die nicht hergestellt werden kann?
Bei Verwendung des suhosin patches gibts es die Moeglichkeit SQL Fehler mitzuloggen,
hat damit schon wer Erfahrungen gesammelt?
Was mich auch noch interessiert ist die Verwendung des Intrusion Detection Systems
PHPIDS. Ich habe das als zusaetzlichen Schutz eingebunden und es wird jedesmal eine
email gesendet wenn es anschlaegt.
Jetzt stellt sich mir aber auch hier die Frage, wie man damit umgeht, FALLS es etwas enteckt. Manchmal sind auch voellig legale Cookies, wie zum Beispiel von Facebook dafuer verwantwortlich dass ein Angriff erkannt wird.
Wenn jedesmal rigoros geblockt wird kann es sein dass auch unwissende user ausgeschlossen werden...
Was macht ihr bei Zugriff auf Dateien, auf die normal nicht direkt zugegriffen werden soll?
Ich setzt momentan einfach den 404 header. Ist es sinnvoll auch das mitzuloggen und gegebenenfalls ne mail zu senden?
Generell stellt sich die Frage fuer mich, welche Aktionen sind es Wert, den Zugriff sofort zu unterbinden und den Admin zu informieren?
Bei mir war der Fall, dass jemand versucht hat unzaehlige skripte per url einzubinden (wahrscheinlich per skript) und ich hunderte mails von Angriffsversuchen im Postfach hatte...
ich wollte mal fragen, wie Ihr in euren Webapplikationen moegliche Angriffe mitloggt, und diese gegebenenfalls unterbindet
Was ist eigentlich sinnvoll zu speichern und wie?
Es gibt ja in der php.ini die Moeglichkeit PHP Fehler in ein error_log zu speichern.
Ist es sinnvoll dort alles zu speichern? Oder eher nur Sachen die mindestens in der
Kategorie E_WARNING sind.
Wie geht ihr vor bei offensichtlich gezielt manipulierten Eingaben. Beispielsweise
beim Entdecken einer sql Injection. Sollte man die IP gleich sperren und mail an admin
rausschicken, oder nur eine Fehlermeldung anzeigen?
Eine generelle Frage is auch, ob es sinnvoll ist error_logs in einer Datenbank zu speichern.
Wie geht man vor wenn gerade die Datenbankverbindung es ist, die nicht hergestellt werden kann?
Bei Verwendung des suhosin patches gibts es die Moeglichkeit SQL Fehler mitzuloggen,
hat damit schon wer Erfahrungen gesammelt?
Was mich auch noch interessiert ist die Verwendung des Intrusion Detection Systems
PHPIDS. Ich habe das als zusaetzlichen Schutz eingebunden und es wird jedesmal eine
email gesendet wenn es anschlaegt.
Jetzt stellt sich mir aber auch hier die Frage, wie man damit umgeht, FALLS es etwas enteckt. Manchmal sind auch voellig legale Cookies, wie zum Beispiel von Facebook dafuer verwantwortlich dass ein Angriff erkannt wird.
Wenn jedesmal rigoros geblockt wird kann es sein dass auch unwissende user ausgeschlossen werden...
Was macht ihr bei Zugriff auf Dateien, auf die normal nicht direkt zugegriffen werden soll?
Ich setzt momentan einfach den 404 header. Ist es sinnvoll auch das mitzuloggen und gegebenenfalls ne mail zu senden?
Generell stellt sich die Frage fuer mich, welche Aktionen sind es Wert, den Zugriff sofort zu unterbinden und den Admin zu informieren?
Bei mir war der Fall, dass jemand versucht hat unzaehlige skripte per url einzubinden (wahrscheinlich per skript) und ich hunderte mails von Angriffsversuchen im Postfach hatte...