Форензика простыми словами, это сбор цифровых доказательств. Что можно понять под словосочетанием «цифровые доказательства». Под цифровыми доказательствами подразумевается наличие следов преступления на любых носителях информации, жесткие диски, смартфоны, планшеты, флешки, любые предметы где может храниться информация в электронном виде. Из самых не обычных это могут быть утюги, холодильники и прочая умная бытовая техника))
Существует несколько видов криминалистических экспертиз:
Аппаратно-компьютерная экспертиза;
Программно-компьютерная экспертиза;
Компьютерно-сетевая экспертиза;
Информационно-компьютерная экспертиза.
Перед специалистом в основном ставятся вопросы:
о наличии на объектах информации, которая относится к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
о возможности использования исследуемых объектов для определённых целей (например, для доступа в сеть);
о действиях, совершённых с использованием объектов;
о свойствах программ, в частности, о принадлежности их к вредоносным;
об идентификации найденных электронных документов, софта, пользователей компьютера.
Еще есть понятие как экспресс анализ, то есть на месте быстро все проверяется и делается заключение. Например, вы сидите дома, взламываете сайт какого нибудь департамента, и тут в дверь позвонили, ты пошел открывать не выключив ноутбук, зашли полицейские, или люди из иных гос. структур, посмотрели ваш компьютер, и все, доказательство на лицо. По средствам экспресс анализа быстро выявят ваше причастие к взлому и заберут в другое место, менее приятнее чем ваш дом.
1 Общие сведения о логе веб-сервера
1.1 Как работает web server log file?
Когда пользователь вводит URL-адрес в браузер, тот сначала разбивает его на три компонента. Например:
https://your_site_address.com/example.html
В данном случае браузер понимает, что https – это протокол, your_site_address.com – название сервера, а example.html – имя файла.
Название сервера преобразуется в IP-адрес через сервер доменных имен. Затем HTTP-запрос GET отправляется на веб-сервер через соответствующий протокол для запрашиваемой страницы или файла, при этом HTML возвращается в браузер, а затем интерпретируется для форматирования видимой страницы на экране. Каждый из этих запросов записывается в log file веб-сервера.
Проще говоря, процесс выглядит так: посетитель совершает переход по странице, браузер передает его запрос серверу, на котором расположен веб-сайт. Сервер выдает запрошенную пользователем страницу в ответ. И после этого фиксирует все происходящее в log-файле.
Все, что вам нужно, чтобы проанализировать сканирование сайта поисковой системой, – экспортировать данные и отфильтровать запросы, сделанные роботом, например, Googlebot. С помощью браузера и диапазона IP это сделать удобнее.
Сам лог-файл представляет собой сырую информацию, сплошной текст. Но правильная обработка и анализ дают неограниченный источник информации.
1.2 Содержание и структура лог-файла
Структура журнала в конечном счете зависит от типа используемого сервера и конфигураций. Например, анализ логов Apache будет отличаться от анализа логов Nginx. Но есть несколько общих атрибутов, которые почти всегда содержатся в файле:
• IP-адрес запроса;
• дата и время;
• география;
• метод GET / POST;
• запрос к URL;
• код состояния HTTP;
• браузер.
Пример записи, включая приведенные выше данные:
111.11.111.111 – - [12 / Oct / 2018: 01: 02: 03 -0100] « GET / resources / whitepapers / retail-whitepaper / HTTP / 1.1 « 200“ -« „Opera / 1.0 (совместимый; Googlebot / 2.1; + http://www.google.com/bot.html)
Дополнительные атрибуты, которые иногда можно увидеть, включают:
• имя хоста;
• запрос / клиентский IP-адрес;
• загруженные байты;
• затраченное время.
Экспорт лог-файла на WordPress
Чтобы подобный файл появился и для сайта на платформе WordPress, необходимо включить функцию логирования. Для этого найдите в корневой папке сайта файл с названием wp-config.php. Скачайте файл на компьютер, чтобы получить доступ к редактированию.
Далее найдите строку: «That’s all, stop editing! Happy blogging». Перед ней добавьте новую строку кода:
define («WP_DEBUG», true);
Это переведет сайт в режим отладки, что включит отображение уведомлений об ошибках.
Теперь запустите запись ошибок в log-файл. Для этого сразу под предыдущей строкой кода добавьте новую:
define («WP_DEBUG_LOG», true);
Чтобы зайти в log-файл сайта на WordPress, нужно перейти в FTP или менеджер файлов. Далее в общей папке сайта откройте папку wp-content, в ней найдите файл с именем debug.
1.3 Анализаторы файлов журналов
По мере того, как все больше и больше компаний переходят в облако, аналитики журнала, анализ логов и инструменты управления журналами становятся все более востребованными.
Некоторые проверяют лог-файлы вручную. Веб-мастера экспортируют файл и анализируют его в программе Excel. В таком случае понадобится только сортировка и несколько формул, но данный подход – устаревший, и здесь рассматриваться не будет.
Использование специальных инструментов для анализа файлов журналов может облегчить обработку больших объемов информации.
Некоторые веб-мастера устанавливают анализатор логов на сам сервер. Способ удобен для проектов, расположенных на собственных серверах, – тогда логи будут сохранены неограниченное количество времени. А проекты, которые находятся на стороннем хостинге, будут поставлены в рамки – хранение максимум 1 месяц. Поэтому возникает необходимость производить ротацию и архивирование.
Screaming Frog Log File Analyzer
Для примера проведем анализ лог файлов через Screaming Frog Log File Analyzer.
Инструмент предоставляет доступ к бесплатной версии, ограничивая журнал событий одной тысячей строк. Для некрупного проекта этого объема хватит.
Скачайте и установите программу на компьютер, далее выгрузите лог-файлы или составьте список всех URL-адресов, которые присутствуют на веб-площадке. Экспорт файла описан выше.
Анализ логов онлайн покажет в таблице коды ответа страниц, даты последних переходов, контент, количество поисковых ботов и прочее.
Остальные анализаторы рассмотрим более кратко.
GoAccess предназначен для быстрого анализа данных. Его основная идея – быстро посмотреть логи сервера и проанализировать их в режиме реального времени без необходимости использования вашего браузера.
Splunk позволяет вам обрабатывать бесплатно до 500 МБ данных в день. Это отличный способ собирать, хранить, искать, сравнивать, анализировать журналы сайта.
Logmatic.io – инструмент анализа журналов, разработанный специально для улучшения работы программного обеспечения. Акцент делается на программные данные, куда входят и журналы. На данный момент инструмент платный.
