Як я можу виявити небажані вторгнення на своїх серверах?


16

Як інші адміністратори відстежують свої сервери, щоб виявити будь-який несанкціонований доступ та / або хакерські спроби? У більшій організації легше кинути людей на проблему, але в меншому магазині, як можна ефективно контролювати свої сервери?

Я схильний сканувати серверні журнали, шукаючи все, що вискакує на мене, але дуже легко пропустити речі. В одному випадку нас наштовхнуло на невеликий простір на жорсткому диску: наш сервер був захоплений як FTP-сайт - вони зробили чудову роботу, приховавши файли, заплутавшись у таблиці FAT. Якщо ви не знали конкретну назву папки, вона не відображатиметься в Провіднику, в DOS або під час пошуку файлів.

Які інші методи та / або інструменти використовують люди?

Відповіді:


9

Частково це залежить від того, який тип системи ви працюєте. Я викладу кілька пропозицій для Linux, тому що я з ним більше знайомий. Більшість з них стосується і Windows, але я не знаю інструментів ...

  • Використовуйте IDS

    SNORT® - це система запобігання та виявлення вторгнень з відкритим кодом, що використовує мову, керовану правилами, що поєднує в собі переваги методів перевірки підписів, протоколів та аномалій. На сьогоднішній день з мільйонами завантажень Snort - це найбільш широко розгорнута технологія виявлення та запобігання вторгнень у всьому світі і стала фактичним стандартом для галузі.

    Snort читає мережевий трафік і може шукати такі речі, як "диск за допомогою тестування пера", де хтось просто запускає ціле сканування метасплайта на ваші сервери. На мій погляд, добре знати такі речі.

  • Використовуйте журнали ...

    Залежно від вашого використання ви можете налаштувати його, щоб ви знали, коли користувач увійде в систему, або ввійде через непарний IP, або кожен раз, коли root увійде в систему, або коли хтось спробує увійти. У мене фактично сервер надсилає по електронній пошті мені кожне повідомлення журналу вище, ніж налагодження. Так, навіть зауважте. Я, звичайно, фільтрую деякі з них, але щоранку, коли отримую 10 електронних листів про речі, це змушує мене виправити це, щоб це перестало відбуватися.

  • Контролюйте свою конфігурацію - я фактично тримаю весь / etc в підривному режимі, щоб я міг відслідковувати зміни.

  • Виконати сканування. Такі інструменти, як Lynis та Rootkit Hunter, можуть повідомляти про можливі отвори у ваших програмах. Є програми, які підтримують хеш-хеш-дерево всіх ваших бункерів і можуть попередити вас про зміни.

  • Контролюйте свій сервер - Так само, як ви згадали на диску, графіки можуть дати вам підказку, якщо щось незвичне Я використовую Кактуси, щоб слідкувати за процесором, мережевим трафіком, дисковим простором, температурою тощо. Якщо щось виглядає дивно, це не дивно, і ви повинні з’ясувати, чому це не дивно.


+1 для / тощо в підривній роботі!
Енді Лі Робінсон

Не знаючи про SNORT, я почав писати власну IDS 10 років тому, але ще не опублікував її. Він аналізує трубопровідні журнали syslogs / apache в режимі реального часу за допомогою perl та mysql з iptables. Якщо в певний період або негайно (w00tw00t тощо) буде N подій, адреса скасовується, додається до dnsbl і подає скаргу до провайдера. 95% Інтернет-провайдерів є делінквентними, тому це створює чорний список поганих провайдерів від відштовхуваних листів за допомогою sendmail та mysql, хоча він має певний успіх в очищенні компрометованих машин і дає певне задоволення.
Енді Лі Робінсон

2

Автоматизуйте все, що ви можете ... подивіться такі проекти, як OSSEC http://www.ossec.net/ Встановлення клієнта / сервера ... Насправді проста установка і налаштування теж непогана. Простий спосіб визначити, чи щось було змінено, включаючи записи реєстру. Навіть у маленькому магазині я би розглядав налаштування сервера syslog, щоб ви могли переварити всі ваші журнали в одному місці. Ознайомтеся з агентом syslog http://syslogserver.com/syslogagent.html, якщо ви хочете лише надіслати свої журнали Windows на сервер syslog для аналізу.


2

У Linux я використовую logcheck, щоб регулярно повідомляти про підозрілі записи у своїх файлах журналів. Це також дуже корисно для виявлення несподіваних подій, пов'язаних із безпекою.


Цей домен продається зараз - інструмент там не знайдеться.
Андреас Райф
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.