Sunucularımdaki istenmeyen izinsiz girişleri nasıl tespit edebilirim?


16

Diğer yöneticiler, yetkisiz erişim ve / veya saldırı girişimlerini tespit etmek için sunucularını nasıl izliyor? Daha büyük bir organizasyonda insanları soruna atmak daha kolaydır, ancak daha küçük bir mağazada sunucularınızı nasıl etkili bir şekilde izleyebilirsiniz?

Bana atlayan bir şey arayan sunucu günlüklerini taramaya eğilimliyim, ancak bazı şeyleri kaçırmak gerçekten çok kolay. Bir durumda biz düşük sabit disk alanı ile devrilme: sunucumuz bir FTP sitesi olarak devralındı ​​- FAT tablo ile uğraşarak dosyaları gizleyerek harika bir iş yaptı. Klasörün belirli adını bilmiyorsanız, Explorer'da, DOS'tan veya dosyaları ararken görünmez.

İnsanlar başka hangi teknikleri ve / veya araçları kullanıyor?

Yanıtlar:


9

Kısmen hangi sistem üzerinde çalıştığınıza bağlıdır. Linux için bazı önerilerde bulunacağım, çünkü bu konuya daha aşinayım. Çoğu Windows için de geçerlidir ama araçları bilmiyorum ...

  • IDS kullanın

    SNORT®, imza, protokol ve anomali tabanlı denetim yöntemlerinin faydalarını birleştiren, kural odaklı bir dil kullanan açık kaynaklı bir ağ saldırı önleme ve algılama sistemidir. Şimdiye kadar milyonlarca indirme ile Snort, dünya çapında en yaygın kullanılan saldırı tespit ve önleme teknolojisidir ve sektör için fiili standart haline gelmiştir.

    Snort ağ trafiğini okur ve birisinin sunucularınıza karşı tüm metasploit taramasını çalıştırdığı "kalem testi ile sür" gibi şeyler arayabilir. Bence bu tür şeyleri bilmek güzel.

  • Günlükleri kullanın ...

    Kullanımınıza bağlı olarak, bir kullanıcı oturum açtığında veya tek bir IP'den oturum açtığında veya kök oturum açtığında veya bir kullanıcı oturum açmaya çalıştığında bunu bilmeniz için ayarlayabilirsiniz. Aslında sunucu hata ayıklama daha yüksek her günlük iletisi bana e-posta var . Evet, hatta Uyarı. Bazılarını elbette filtreliyorum, ama her sabah bir şey hakkında 10 e-posta aldığımda bunu düzeltmek istiyorum, böylece durur.

  • Yapılandırmanızı izleyin - Düzeltmeleri izleyebilmem için tüm / etc dosyamı alt sürümde tutuyorum.

  • Taramaları çalıştırın. Lynis ve Rootkit Hunter gibi araçlar , uygulamalarınızdaki olası güvenlik açıklarına karşı size uyarı verebilir. Tüm çöp kutularınızın karma veya karma ağacını koruyan ve değişiklikler konusunda sizi uyarabilen programlar vardır.

  • Sunucunuzu izleyin - Tıpkı disk alanından bahsettiğiniz gibi - olağandışı bir şey olduğunda grafikler size bir ipucu verebilir. Kullandığım Cacti şey olursa vs CPU, ağ trafiği, disk alanı, sıcaklıklar, üzerinde bir göz tutmak için bakışlar tuhaf o olduğunu garip ve tuhaf neden dışarı bulmak gerekir.


Subversion / etc için +1!
Andy Lee Robinson

SNORT'u bilmeden, 10 yıl önce kendi IDS'mi yazmaya başladım ancak henüz yayınlamadım. Borulu syslogs / apache günlüklerini perl ve mysql ile iptables kullanarak gerçek zamanlı olarak ayrıştırır. Bir dönemde N olayı veya hemen (w00tw00t vb.) Varsa, adres güvenlik duvarına eklenir, bir dnsbl'e eklenir ve ISS'ye bir şikayet gönderir. ISS'lerin% 95'i suçludur, bu nedenle sendmail ve mysql kullanarak geri dönen postalardan kötü ISS'lerin bir kara listesini oluşturur, ancak tehlikeye atılan makineleri temizlemede bazı başarıları vardır ve bazı memnuniyetler verir.
Andy Lee Robinson

2

Yapabileceğiniz her şeyi otomatikleştirin ... OSSEC gibi projelere göz atın http://www.ossec.net/ İstemci / sunucu kurulumu ... gerçekten kolay kurulum ve ayar da fena değil. Kayıt defteri girdileri de dahil olmak üzere bir şeyin değiştirilip değiştirilmediğini anlamanın kolay yolu. Küçük bir dükkanda bile, tüm günlüklerinizi tek bir yerde sindirebilmeniz için bir syslog sunucusu kurmaya bakardım. Analiz için yalnızca Windows günlüklerinizi bir syslog sunucusuna göndermek istiyorsanız, sistem günlüğü aracısına http://syslogserver.com/syslogagent.html bakın .


2

Linux'ta günlük dosyalarımdaki şüpheli girişleri düzenli olarak bildirmek için logcheck kullanıyorum . Güvenlikle ilgili beklenmedik olayları tespit etmek için de çok yararlıdır.


Bu alan adı şimdi satılıktır - araç burada bulunamaz.
Andreas Reiff
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.