Bagaimana saya bisa mendeteksi intrusi yang tidak diinginkan di server saya?


16

Bagaimana admin lain memantau server mereka untuk mendeteksi akses tidak sah dan / atau upaya peretasan? Dalam organisasi yang lebih besar lebih mudah untuk melemparkan orang ke masalah tetapi di toko yang lebih kecil bagaimana Anda bisa memonitor server Anda secara efektif?

Saya cenderung untuk memindai melalui log server mencari apa pun yang melompat keluar pada saya, tetapi sangat mudah untuk melewatkan hal-hal. Dalam satu kasus kami mendapat informasi dari ruang hard drive yang rendah: server kami diambil alih sebagai situs FTP - mereka melakukan pekerjaan besar menyembunyikan file dengan mengacaukan tabel FAT. Kecuali Anda tahu nama spesifik folder itu tidak akan muncul di Explorer, dari DOS, atau ketika mencari file.

Apa teknik dan / atau alat lain yang digunakan orang?

Jawaban:


9

Sebagian tergantung pada jenis sistem yang Anda jalankan. Saya akan menguraikan beberapa saran untuk Linux, karena saya lebih akrab dengannya. Sebagian besar dari mereka berlaku untuk Windows juga, tetapi saya tidak tahu alat ...

  • Gunakan IDS

    SNORT® adalah sistem pencegahan dan deteksi intrusi jaringan sumber terbuka yang menggunakan bahasa berbasis aturan, yang menggabungkan manfaat metode inspeksi berbasis tanda tangan, protokol, dan anomali. Dengan jutaan unduhan hingga saat ini, Snort adalah teknologi deteksi dan pencegahan intrusi yang paling banyak digunakan di seluruh dunia dan telah menjadi standar de facto untuk industri ini.

    Snort membaca lalu lintas jaringan dan dapat mencari hal-hal seperti "drive by pen testing" di mana seseorang hanya menjalankan seluruh pemindaian metasploit terhadap server Anda. Senang mengetahui hal-hal semacam ini, menurut saya.

  • Gunakan log ...

    Bergantung pada penggunaan Anda, Anda dapat mengaturnya sehingga Anda tahu setiap kali pengguna masuk, atau masuk dari IP aneh, atau setiap kali login root, atau setiap kali seseorang mencoba untuk masuk. Saya benar-benar memiliki server mengirimi saya email setiap log pesan lebih tinggi dari Debug. Ya, bahkan Pemberitahuan. Saya menyaring beberapa dari mereka tentu saja, tetapi setiap pagi ketika saya mendapatkan 10 email tentang hal-hal itu membuat saya ingin memperbaikinya sehingga berhenti terjadi.

  • Pantau konfigurasi Anda - Saya benar-benar menyimpan seluruh / etc saya dalam subversi sehingga saya dapat melacak revisi.

  • Jalankan pemindaian. Alat-alat seperti Lynis dan Rootkit Hunter dapat memberi Anda peringatan tentang kemungkinan lubang keamanan di aplikasi Anda. Ada beberapa program yang memelihara pohon hash atau hash dari semua tempat sampah Anda dan dapat mengingatkan Anda untuk perubahan.

  • Monitor server Anda - Sama seperti yang Anda sebutkan pada diskspace - grafik dapat memberi Anda petunjuk jika ada sesuatu yang tidak biasa. Saya menggunakan Cacti untuk mengawasi pada CPU, lalu lintas jaringan, ruang disk, suhu, dll Jika sesuatu tampak aneh itu adalah aneh dan Anda harus mencari tahu mengapa hal itu aneh.


+1 untuk / etc di subversi!
Andy Lee Robinson

Tidak tahu tentang SNORT, saya mulai menulis IDS saya sendiri 10 tahun yang lalu tetapi belum menerbitkannya. Ini mem-parsing log syslogs / apache secara real time menggunakan perl, dan mysql dengan iptables. Jika ada peristiwa N dalam suatu periode, atau langsung (w00tw00t dll), alamat tersebut diblokir, ditambahkan ke dnsbl, dan mengirimkan keluhan ke ISP. 95% ISP bermasalah sehingga membuat daftar hitam ISP buruk dari bouncing mail menggunakan sendmail dan mysql, meskipun itu memang berhasil membersihkan mesin yang disusupi dan memberikan kepuasan.
Andy Lee Robinson

2

Otomatisasi semua yang Anda bisa ... lihat proyek-proyek seperti OSSEC http://www.ossec.net/ Client / server install ... setup sangat mudah dan penyetelannya juga tidak buruk. Cara mudah untuk mengetahui apakah ada sesuatu yang berubah termasuk entri registri. Bahkan di sebuah toko kecil saya akan melihat pengaturan server syslog sehingga Anda dapat mencerna log Anda semua di satu tempat. Lihat agen syslog http://syslogserver.com/syslogagent.html jika Anda hanya ingin mengirim log windows Anda ke server syslog untuk analisis.


2

Di Linux, saya menggunakan centang untuk secara teratur melaporkan entri yang mencurigakan dalam file log saya. Ini juga sangat berguna untuk mendeteksi kejadian tak terduga terkait non-keamanan.


Domain itu untuk dijual sekarang - alat tidak dapat ditemukan di sana.
Andreas Reiff
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.