Как я могу обнаружить нежелательные вторжения на мои серверы?

16

Как другие администраторы контролируют свои серверы для обнаружения любых попыток несанкционированного доступа и / или взлома? В крупной организации легче бросить людей на проблему, но в меньшем магазине, как вы можете эффективно контролировать свои серверы?

Я склонен сканировать журналы сервера в поисках чего-то, что бросается в глаза, но это действительно легко пропустить. В одном случае нам не хватало места на жестком диске: наш сервер стал FTP-сайтом - они отлично поработали, скрыв файлы, покопавшись в таблице FAT. Если вы не знаете конкретное имя папки, оно не будет отображаться в Проводнике, из DOS или при поиске файлов.

Какие еще методы и / или инструменты используют люди?

Павел Мрозовский
источник

Ответы:

9

Это частично зависит от того, на какой системе вы работаете. Я изложу некоторые предложения для Linux, потому что я более знаком с ним. Большинство из них относится и к Windows, но я не знаю, инструменты ...

  • Используйте IDS

    SNORT® - это система с открытым исходным кодом для предотвращения и обнаружения вторжений, использующая язык на основе правил, который сочетает в себе преимущества методов проверки на основе сигнатур, протоколов и аномалий. На данный момент Snort является самой распространенной технологией обнаружения и предотвращения вторжений, которая стала стандартом де-факто для отрасли.

    Snort считывает сетевой трафик и может искать такие вещи, как «тестирование с помощью пера», когда кто-то просто выполняет полное сканирование метасплойтов на ваших серверах. Приятно знать такие вещи, на мой взгляд.

  • Используйте журналы ...

    В зависимости от вашего использования вы можете настроить его так, чтобы вы знали, когда пользователь входит в систему или входит с нечетного IP-адреса, или всякий раз, когда root входит в систему, или когда кто-то пытается войти в систему. На самом деле, у меня есть сервер, который посылает мне по электронной почте каждое сообщение в журнале выше, чем Debug. Да, даже обратите внимание. Я, конечно, фильтрую некоторые из них, но каждое утро, когда я получаю 10 писем о вещах, это заставляет меня хотеть исправить это, чтобы это перестало происходить.

  • Контролируйте свою конфигурацию - я фактически держу весь / etc в subversion, чтобы я мог отслеживать ревизии.

  • Запустите сканирование. Такие инструменты, как Lynis и Rootkit Hunter, могут предупредить вас о возможных дырах в безопасности ваших приложений. Существуют программы, которые поддерживают хэш или дерево хешей всех ваших корзин и могут предупреждать вас об изменениях.

  • Контролируйте свой сервер - так же, как вы упомянули дисковое пространство - графики могут дать вам подсказку, если что-то необычное. Я использую кактусы , чтобы держать глаз на CPU, сетевого трафика, дискового пространства, температуры и т.д. Если что - то выглядит странно, это странно , и вы должны выяснить , почему это странно.

Том Риттер
источник
+1 за / etc в подрывной деятельности!
Энди Ли Робинсон
Не зная о SNORT, я начал писать свой собственный IDS 10 лет назад, но еще не опубликовал его. Он анализирует системные журналы / apache в реальном времени, используя perl, и mysql с iptables. Если в периоде есть N событий или мгновенных (w00tw00t и т. Д.), Адрес блокируется брандмауэром, добавляется в dnsbl и отправляет жалобу интернет-провайдеру. 95% интернет-провайдеров являются просроченными, поэтому он создает черный список плохих интернет-провайдеров из почтовых отправлений с использованием sendmail и mysql, хотя он и имеет некоторый успех в очистке скомпрометированных машин и дает некоторое удовлетворение.
Энди Ли Робинсон
2

Автоматизируйте все, что вы можете ... взгляните на такие проекты, как OSSEC http://www.ossec.net/ Установка клиент / сервер ... действительно простая установка, и настройка тоже неплохая. Простой способ узнать, если что-то было изменено, включая записи в реестре. Даже в небольшом магазине я бы посмотрел на настройку сервера системного журнала, чтобы вы могли переварить все ваши журналы в одном месте. Обратитесь к агенту системного журнала http://syslogserver.com/syslogagent.html, если вы только хотите отправить свои журналы Windows на сервер системного журнала для анализа.

трент
источник
2

В Linux я использую logcheck, чтобы регулярно сообщать о подозрительных записях в моих файлах журнала. Это также очень полезно для обнаружения непредвиденных событий, не связанных с безопасностью.

Mikeage
источник
Этот домен продается сейчас - инструмент там не найден.
Андреас Рифф