Quello che i logs non dicono…

Gli access log sono presenti su ogni server e dovremmo imparare ad esaminarli con frequenza perchè ci possono dire parecchie cose se impariamo a cercare quello che ci serve cercare per aumentare la stabilità, l’usabilità e la sicurezza del nostro sito web.

Cosa ci interessa cercare?
Ci interessa cercare innazitutto le richieste che finisco in 404… per fare ciò possiamo semplicemente cercare tutte le righe che presentano il codice di responso 404 (e non 200).
Da qui dovremmo comprendere e capire quali sono le eventuali richieste effettuate da un bot “hacker” che in genere cerca in modo seriale URL come “/admin/”, “/administrator”, “/wp-login”, ecc…
Individuate queste richieste cerchiamo se l’IP che le ha effettuate ha compiuto altre azioni all’interno del nostro server.
In genere si scoprono delle chiamate POST, degli errori 403 e dei tentativi di richieste GET in stile “../../../proc/env/”, ecc..

Cosa possiamo fare?
In base alle richieste che riceviamo possiamo decidere di applicare delle protezioni all’interno del nostro server a seconda di quello che valutiamo essere più efficace.

Ma tramite le 404 possiamo anche scoprire se un contenuto viene richiamato più volte generando errore… vuoldire che un link o un contenuto all’interno del nostro sito risulta rotto o inaccessibile.

Quindi grazie all’esame dei logs possiamo comprendere davvero molti aspetti di sicurezza e comportamento all’interno del nostro sito web.

In conclusione potremmo dire che è molto importante monitorare:

  • errori 404 per contenuti mancanti / attacchi hacker
  • errori 403 per attacchi hacker
  • errori 500 per errori applicativi nel sito
  • chiamate POST/GET anomale a percorsi non standard per attacchi hacker