Làm cách nào tôi có thể phát hiện các xâm nhập không mong muốn trên máy chủ của mình?

Làm thế nào các quản trị viên khác giám sát máy chủ của họ để phát hiện bất kỳ truy cập trái phép và / hoặc các nỗ lực hack? Trong một tổ chức lớn hơn, việc ném mọi người vào vấn đề sẽ dễ dàng hơn nhưng trong một cửa hàng nhỏ hơn, làm thế nào bạn có thể giám sát hiệu quả các máy chủ của mình?

Tôi có xu hướng quét qua nhật ký máy chủ để tìm kiếm bất cứ thứ gì nhảy ra khỏi tôi, nhưng thực sự rất dễ bỏ lỡ mọi thứ. Trong một trường hợp, chúng tôi đã bị lật bởi dung lượng ổ cứng thấp: máy chủ của chúng tôi đã được sử dụng như một trang FTP - họ đã làm rất tốt việc ẩn các tệp bằng cách làm hỏng bảng FAT. Trừ khi bạn biết tên cụ thể của thư mục, nó sẽ không hiển thị trong Explorer, từ DOS hoặc khi tìm kiếm tệp.

Những kỹ thuật và / hoặc công cụ khác mà mọi người đang sử dụng là gì?

Nó một phần phụ thuộc vào loại hệ thống bạn đang chạy. Tôi sẽ phác thảo một số đề xuất cho Linux, vì tôi quen thuộc hơn với nó. Hầu hết trong số họ cũng áp dụng cho Windows nhưng tôi không biết các công cụ ...

• Sử dụng IDS

  SNORT® là một hệ thống phát hiện và ngăn chặn xâm nhập mạng nguồn mở sử dụng ngôn ngữ dựa trên quy tắc, kết hợp các lợi ích của chữ ký, giao thức và phương pháp kiểm tra dựa trên bất thường. Với hàng triệu lượt tải xuống cho đến nay, Snort là công nghệ phát hiện và ngăn chặn xâm nhập được triển khai rộng rãi nhất trên toàn thế giới và đã trở thành tiêu chuẩn thực tế cho ngành công nghiệp.

  Snort đọc lưu lượng truy cập mạng và có thể tìm kiếm những thứ như "lái xe bằng cách kiểm tra bút" trong đó ai đó chỉ thực hiện quét toàn bộ metasploit đối với máy chủ của bạn. Tốt để biết những thứ này, theo ý kiến ​​của tôi.

• Sử dụng nhật ký ...

  Tùy thuộc vào cách sử dụng của bạn, bạn có thể thiết lập nó để bạn biết bất cứ khi nào người dùng đăng nhập hoặc đăng nhập từ một IP lẻ hoặc bất cứ khi nào root đăng nhập hoặc bất cứ khi nào ai đó cố gắng đăng nhập. Tôi thực sự có máy chủ gửi e-mail cho tôi mỗi thông điệp tường trình cao hơn Debug. Có, thậm chí Thông báo. Tôi lọc một số trong số họ tất nhiên, nhưng mỗi sáng khi tôi nhận được 10 email về những thứ nó khiến tôi muốn sửa nó để nó ngừng xảy ra.

• Theo dõi cấu hình của bạn - Tôi thực sự giữ toàn bộ / etc của mình trong lật đổ để tôi có thể theo dõi các bản sửa đổi.

• Chạy quét. Các công cụ như Lynis và Rootkit Hunter có thể cung cấp cho bạn thông báo về các lỗ hổng bảo mật có thể có trong các ứng dụng của bạn. Có những chương trình duy trì cây băm hoặc cây băm của tất cả các thùng của bạn và có thể cảnh báo bạn về những thay đổi.

• Giám sát máy chủ của bạn - Giống như bạn đã đề cập đến không gian đĩa - biểu đồ có thể cho bạn một gợi ý nếu có gì đó bất thường. Tôi sử dụng xương rồng để giữ một mắt trên CPU, lưu lượng mạng, không gian đĩa, nhiệt độ, vv Nếu một cái gì đó trông lẻ nó là lẻ và bạn nên tìm hiểu lý do tại sao nó là lẻ.

Tự động hóa mọi thứ bạn có thể ... hãy xem các dự án như OSSEC http://www.ossec.net/ Cài đặt máy khách / máy chủ ... thiết lập thực sự dễ dàng và điều chỉnh cũng không tệ. Cách dễ dàng để biết nếu một cái gì đó đã được thay đổi bao gồm các mục đăng ký. Ngay cả trong một cửa hàng nhỏ tôi cũng sẽ xem xét việc thiết lập một máy chủ nhật ký hệ thống để bạn có thể tiêu hóa tất cả các bản ghi của bạn ở một nơi. Kiểm tra tác nhân syslog http://syslogserver.com/syslogagent.html nếu bạn chỉ muốn gửi nhật ký cửa sổ của mình đến một máy chủ syslog để phân tích.

Trên Linux, tôi sử dụng logcheck để thường xuyên báo cáo các mục đáng ngờ trong các tệp nhật ký của mình. Nó cũng rất hữu ích để phát hiện các sự kiện bất ngờ không liên quan đến bảo mật.