ฉันจะตรวจจับการบุกรุกที่ไม่พึงประสงค์บนเซิร์ฟเวอร์ของฉันได้อย่างไร

16

ผู้ดูแลระบบคนอื่น ๆ กำลังตรวจสอบเซิร์ฟเวอร์เพื่อตรวจหาการเข้าถึงและ / หรือการแฮ็คโดยไม่ได้รับอนุญาตอย่างไร ในองค์กรขนาดใหญ่ง่ายกว่าที่จะโยนคนที่มีปัญหา แต่ในร้านค้าขนาดเล็กคุณจะตรวจสอบเซิร์ฟเวอร์ของคุณได้อย่างมีประสิทธิภาพได้อย่างไร

ฉันมักจะสแกนผ่านบันทึกเซิร์ฟเวอร์ที่กำลังมองหาสิ่งที่กระโดดออกมาจากฉัน แต่มันง่ายที่จะพลาดสิ่งต่าง ๆ ในกรณีหนึ่งเราถูกทิปด้วยพื้นที่ฮาร์ดไดรฟ์ต่ำเซิร์ฟเวอร์ของเราถูกยึดครองเป็นไซต์ FTP - พวกเขาทำงานได้ดีมากในการซ่อนไฟล์โดยการยุ่งกับตาราง FAT ถ้าคุณไม่ทราบชื่อเฉพาะของโฟลเดอร์มันจะไม่ปรากฏใน Explorer จาก DOS หรือเมื่อค้นหาไฟล์

คนอื่นใช้เทคนิคและ / หรือเครื่องมืออะไรบ้าง?

hacking 
Paul Mrozowski
แหล่งที่มา

คำตอบ:

9

ส่วนหนึ่งขึ้นอยู่กับประเภทของระบบที่คุณใช้ ฉันจะร่างคำแนะนำสำหรับ Linux เนื่องจากฉันคุ้นเคยกับมันมากกว่า ส่วนใหญ่ใช้กับ Windows ด้วย แต่ฉันไม่รู้เครื่องมือ ...

  • ใช้ IDS

    SNORT®เป็นระบบป้องกันและตรวจจับการบุกรุกเครือข่ายโอเพนซอร์ซโดยใช้ภาษาที่ควบคุมกฎซึ่งรวมข้อดีของวิธีการตรวจสอบลายเซ็นโปรโตคอลและความผิดปกติ ด้วยการดาวน์โหลดหลายล้านครั้งจนถึงปัจจุบัน Snort เป็นเทคโนโลยีการตรวจจับและป้องกันการบุกรุกที่ใช้กันอย่างแพร่หลายมากที่สุดทั่วโลกและกลายเป็นมาตรฐานที่แท้จริงสำหรับอุตสาหกรรม

    Snort อ่านทราฟฟิกเครือข่ายและสามารถมองหาสิ่งต่าง ๆ เช่น "ไดรฟ์ด้วยการทดสอบปากกา" ซึ่งมีผู้ใช้งาน metasploit สแกนกับเซิร์ฟเวอร์ของคุณ ดีใจที่ได้ทราบสิ่งเหล่านี้ในความคิดของฉัน

  • ใช้บันทึก ...

    ขึ้นอยู่กับการใช้งานของคุณคุณสามารถตั้งค่าเพื่อให้คุณทราบทุกครั้งที่ผู้ใช้เข้าสู่ระบบหรือเข้าสู่ระบบจาก IP แปลกหรือเมื่อใดก็ตามที่รูทเข้าสู่ระบบหรือเมื่อใดก็ตามที่มีคนพยายามที่จะเข้าสู่ระบบ จริง ๆ แล้วฉันมีเซิร์ฟเวอร์อีเมลฉันทุกข้อความบันทึกสูงกว่า Debug ใช่แม้กระทั่งประกาศ ฉันกรองบางอย่างของหลักสูตร แต่ทุกเช้าเมื่อฉันได้รับ 10 อีเมลเกี่ยวกับสิ่งที่ทำให้ฉันต้องการแก้ไขได้ดังนั้นมันจะหยุดเกิดขึ้น

  • ตรวจสอบการกำหนดค่าของคุณ - ฉันเก็บ / etc ทั้งหมดในการโค่นล้มเพื่อให้ฉันสามารถติดตามการแก้ไข

  • เรียกใช้การสแกน เครื่องมือเช่นLynisและRootkit Hunterสามารถแจ้งเตือนคุณถึงช่องโหว่ด้านความปลอดภัยที่เป็นไปได้ในแอปพลิเคชันของคุณ มีโปรแกรมที่รักษาแฮชหรือแฮชทรีของถังขยะทั้งหมดและสามารถแจ้งเตือนคุณถึงการเปลี่ยนแปลงได้

  • ตรวจสอบเซิร์ฟเวอร์ของคุณ - เช่นเดียวกับที่คุณพูดถึงพื้นที่ทำงาน - กราฟสามารถให้คำแนะนำแก่คุณได้หากมีสิ่งผิดปกติ ผมใช้Cactiที่จะเก็บตาบน CPU เครือข่ายการจราจรพื้นที่ดิสก์อุณหภูมิ ฯลฯ หากสิ่งที่มีลักษณะแปลกมันเป็นเรื่องแปลกและคุณควรจะหาเหตุผลว่าทำไมมันเป็นเรื่องแปลก

Tom Ritter
แหล่งที่มา
+1 สำหรับ / etc ในการโค่นล้ม!
Andy Lee Robinson
ไม่ทราบเกี่ยวกับ SNORT ฉันเริ่มเขียน IDS ของตัวเองเมื่อ 10 ปีก่อน แต่ยังไม่ได้เผยแพร่ มันแยกวิเคราะห์ pip syslogs / apache บันทึกในเวลาจริงโดยใช้ Perl และ mysql กับ iptables หากมีเหตุการณ์ N เหตุการณ์ในรอบระยะเวลาหรือทันที (w00tw00t ฯลฯ ) ที่อยู่จะถูกไฟร์วอลล์เพิ่มไปยัง dnsbl และยิงการร้องเรียนไปยัง ISP 95% ของผู้ให้บริการอินเทอร์เน็ตผิดนัดดังนั้นจึงสร้างบัญชีดำของผู้ให้บริการอินเทอร์เน็ตที่ไม่ดีจากอีเมลที่ตีกลับโดยใช้ sendmail และ mysql แม้ว่าจะประสบความสำเร็จในการทำความสะอาดเครื่องที่ถูกบุกรุกและให้ความพึงพอใจ
Andy Lee Robinson
2

ทำให้ทุกอย่างเป็นไปโดยอัตโนมัติ ... ดูที่โครงการเช่น OSSEC http://www.ossec.net/ติดตั้งไคลเอนต์ / เซิร์ฟเวอร์ ... ติดตั้งง่ายและการปรับจูนก็ไม่เลวเหมือนกัน วิธีง่ายๆในการบอกว่ามีการเปลี่ยนแปลงบางอย่างรวมถึงรายการรีจิสตรี แม้แต่ในร้านเล็ก ๆ ฉันจะดูการตั้งค่าเซิร์ฟเวอร์ syslog เพื่อให้คุณสามารถแยกบันทึกทั้งหมดของคุณได้ในที่เดียว ลองดู syslog agent http://syslogserver.com/syslogagent.htmlหากคุณต้องการส่งบันทึก windows ของคุณไปยังเซิร์ฟเวอร์ syslog เพื่อทำการวิเคราะห์

เทรนต์
แหล่งที่มา
2

บน Linux ฉันใช้logcheckเพื่อรายงานรายการที่น่าสงสัยในไฟล์บันทึกของฉันเป็นประจำ นอกจากนี้ยังมีประโยชน์อย่างมากสำหรับการตรวจจับเหตุการณ์ที่ไม่คาดหวังด้านความปลอดภัย

Mikeage
แหล่งที่มา
โดเมนนั้นมีไว้เพื่อขายในตอนนี้ - ไม่พบเครื่องมือที่นั่น
Andreas Reiff
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.