Consulting, services, computer engineering. Implementation of technology solutions and support for businesses.

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

Analyse du log du serveur web pour trouver le botnet qui fait du dos

 

L'application web met trop longtemps à répondre. Le serveur web est saturé. Que se passe-t-il?

pwne les tous

Le client missionne LGHM pour trouver d'où viennet ces ralentissement de l'application web

 

Analyse log serveur web botnet dos : récupération du log

 

Le "log" est le journal qui trace les activités de l'application. Une fois audité le serveur web sur lequel fonctionne l'application, nous allons nous concentrer sur l'analyse de ce fichier "log" qui va nous décrire ce qu'il se passe lorsqu'un utilisateur interroge l'application web. Le serveur web met à disposition ces journeaux, il suffit de les récupérer par FTP par exemple.

 

Une question? Posez-la ici

Le fichier a souvent ce format: 

siteweb.com-15-04-2019.log.gz

Sous linux Il faut le décompresser en tapant la commande:

tar xzvf siteweb.com-15-04-2019.log.gz

Sous Windows le gz est ouvert par l'utilitaire zip inclu

On extrait donc le fichier siteweb.com-15-04-2019.log et en l'éditant avec un notepad, nano, gedit, ou on constate qu'il est humainement lisible. Son format est de la forme: 

IP, identd, nom d'utilisateur, date temps, requete (Get, Post?), Status (200 ok?) , taille de la réponse en bytes, referer, user-agent

Mais le mieux est de regarder ici les formats exacts

exemple:

40.77.167.222 consultingit.fr - [15Apr2019013553 +0200] GET index.phpoption= HTTP1.1 200 11738 Mozilla5.0 (Windows NT 6.1; WOW64; rv61.0) Gecko20100101 Firefox61.0

 

Nous pouvons voir quelle page a été intérrogée et par qui. Mais quand nous avons des milliers de lignes à la seconde, il est plus pratique d'utiliser un éditeur de logs: Apache Log Viewer.

 

Analyse log serveur web botnet dos : Apache Log Viewer

Une fois téléchargé, il est de la forme: ApacheLogsViewerv5091.exe

Sous Windows, lancer l'installation. ci le pré-requis .net framework 4.5.2 n'est pas présent, il sera automatiquement installé.

S’installe généralement dans :

C:\Program Files (x86)\iannet\Apache Logs Viewer 5\

Une fois installé, lancer le programme

Faire glisser le fichier siteweb.com-15-04-2019.log dans la fenêtre principale

 

 Analyse log serveur web log options

 

Nous reconnaissons le format vu toute à l'heure, laisson le commons par defaut. Lorsque nous avons un serveur web IIS, Microsoft Internet Information Services nous pouvons selectionner W3C ou autre format IIS...

On remarque que la ligne avec l'adresse IP 82.233.84.119 remplit la majeure partie du log. Nous allons donc l'exclure grace au filtre que propose ApacheLogsViewer

 

Analyse log serveur web apache log viewer

Analyse log serveur web botnet dos : jour, visites, pages, bande passante

Jour Visites Pages Hits Bande passante
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
16 Avr 2019 37 8 165 108 983 923.14 Mo

 

Analyse log serveur web botnet dos: Hôtes (Top 10)  les IPs des navigateurs qui effectuent le plus de requetes

Hôtes (Top 10)   -    
Hôtes : 0 Connus, 35 Inconnus (IP non résolue)
26 Visiteurs différents
GeoIP
Country
Pages Hits Bande passante Dernière visite
82.233.84.119 France 8 055 108 608 919.84 Mo 16 Avr 2019 - 14:32
160.154.138.149 Ivory Coast (Cote D'Ivoire) 36 119 969.95 Ko 16 Avr 2019 - 11:53
185.153.196.157 Moldova 27 27 171.57 Ko 16 Avr 2019 - 13:35
51.15.180.146 France 12 12 708 Octets 16 Avr 2019 - 00:55
81.250.92.54 France 5 43 320.62 Ko 16 Avr 2019 - 00:03
27.153.202.122 China 4 4 22.87 Ko 16 Avr 2019 - 09:04
176.180.92.86 France 3 25 213.87 Ko 16 Avr 2019 - 09:17
84.146.241.187 Germany 2 14 143.80 Ko 16 Avr 2019 - 07:25
37.164.250.229 France 2 14 136.97 Ko 16 Avr 2019 - 00:57
192.243.53.51 United States 2 2 11.64 Ko 16 Avr 2019 - 08:22

 

Ici, 82.233.84.119 consomme 919 Mo de bande passante. comparé aux autre hotes qui ne consomment que 969.95 ko max, on en deduit que c'est le bot. De plus il a visité 8055 pages du site, ce qui est humainement compliqué. Imaginons quelqu'un qui clique 8055 fois sur un bouton pour changer de page, pour visiter 8055 pages en une journée? Le deuxieme hote avec 36 pages visitées à l'air plus humain.

 82.233.84.119  est un sacré bot! car si on le compare avec les bots des moteurs de recherches classiques:

Analyse log serveur web botnet dos: Visite des robots et bande passante utilisée

Visiteurs Robots/Spiders (Top 10)   -    
16 robots différents* Hits Bande passante Dernière visite
MJ12bot 41+4 502.23 Ko 16 Avr 2019 - 08:13
AhrefsBot 36+1 186.42 Ko 16 Avr 2019 - 13:28
DotBot 13+19 252.19 Ko 16 Avr 2019 - 13:04
Googlebot 23 133.57 Ko 16 Avr 2019 - 14:04
SemrushBot 10+9 74.59 Ko 16 Avr 2019 - 13:29
empty user agent string 18 2.83 Ko 16 Avr 2019 - 00:39
bingbot 8+6 42.84 Ko 16 Avr 2019 - 10:44
twitterbot 3+1 20.19 Ko 16 Avr 2019 - 14:13
Unknown robot identified by bot\* 3+1 35.37 Ko 16 Avr 2019 - 06:38
Exabot 2+1 11.12 Ko 16 Avr 2019 - 06:44

 

Ils sont relativement discrets, ils ne consomment que 502.23 ko de bande passante maximum pour le plus gourmand.

 

Analyse log serveur web botnet dos : Systèmes exploitation (Top 10)

Systèmes exploitation (Top 10)   -   Liste complète/Versions   -   Inconnu  
  Systèmes exploitation Pages Pourcentage Hits Pourcentage
  Windows 8 103 99.2 % 108 691 99.7 %
  Linux 47 0.5 % 203 0.1 %
  iOS 6 0 % 36 0 %
  Inconnu 5 0 % 24 0 %
  Macintosh 4 0 % 29 0 %

 

Le bot fonctionne sur un système d'exploitation Windows, on voit ici qu'il a "lu" 8103 pages depuis un système d'exploitation Windows, soit 99.7% des requetes.

 

Analyse log serveur web botnet dos : Navigateurs (Top 10)

 

Navigateurs (Top 10) 

  Navigateurs Aspirateur Pages Pourcentage Hits Pourcentage
  Google Chrome Non 6 019 73.7 % 77 303 70.9 %
  Firefox Non 2 131 26 % 31 577 28.9 %
  Safari Non 10 0.1 % 29 0 %
  Inconnu ? 4 0 % 37 0 %
  Mozilla Non 1 0 % 19 0 %
  IPhone (PDA/Phone browser) Non 0 0 % 18 0 %

Le bot utilise un navigateur Google Chrome ave 70.9% des requetes

 

Analyse log serveur web botnet dos : Statistique / bande passante

 

Sans filtrer l'IP du bot:

Date Bandwidth (bytes)
14-04-2019 98175895

 

Avec filtre sur l'IP du bot:

Date Bandwidth (bytes)
14-04-2019 1530456

 

Le bot consomme donc 98175895 -1530456 = 96645439 bytes

Soit 98% de la bande passante.

Une fois le bot isolé, filtré, les problemes de lenteurs disparaissent.

 

Les lenteurs venaient donc d'un bot qui venait faire du déni de service en lisant des pages web au hasard de manière très rapide. Une fois son IP exclue du serveur web via un système de blacklist, l'application refonctionne normalement. 

 

Merci LGHM ! :)

  

Une question? Posez-la ici

 

 

Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit

 

Voilà, j'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus

 

ou contactez-nous?