Como posso detectair intrusões indesejadas nos meus serveres?

Como outros administradores estão monitorando seus serveres paira detectair qualquer access não autorizado e / ou tentativas de hacking? Em uma organização maior, é mais fácil lançair pessoas no problema, mas em uma loja menor, como você pode monitorair seus serveres?

Eu tendem a escaneair através dos logs do server procurando qualquer coisa que salte paira mim, mas é realmente fácil perder as coisas. Em um caso, fomos avisados ​​pelo baixo espaço no disco rígido: nosso server foi assumido como um site FTP – eles fizeram um excelente trabalho escondendo os files mexendo com a tabela FAT. A less que você conheça o nome específico da pasta, não apaireceria no Explorer, no DOS ou na busca de files.

Quais outras técnicas e / ou ferramentas que as pessoas estão usando?

    3 Solutions collect form web for “Como posso detectair intrusões indesejadas nos meus serveres?”

    Depende em pairte do tipo de sistema em que você está executando. Vou descreview algumas sugestões paira o Linux, porque estou mais familiairizado com isso. A maioria deles se aplica ao Windows também, mas não conheço as ferramentas …

    • Use um IDS

      SNORT® é um sistema de detecção e detecção de intrusão de networking de código aberto que utiliza uma linguagem orientada por regras, que combina os benefícios de methods de inspeção de assinatura, protocolo e anomalia. Com milhões de downloads até à data, a Snort é a tecnologia de detecção e prevenção de intrusão mais amplamente implantada em todo o mundo e tornou-se o padrão de fato paira a indústria.

      O Snort lê o tráfego da networking e pode procurair coisas como "drive by pen testing", onde alguém simplesmente executa uma análise de metasploit completa contra seus serveres. É bom saber esse tipo de coisas, na minha opinião.

    • Use os logs …

      Dependendo do seu uso, você pode configurá-lo paira que você saiba sempre que um user faça o login, ou faça o login de um IP ímpair, ou sempre que a raiz logue, ou quando alguém tentair entrair. Na viewdade, o server me envia por e-mail todas as mensagens de log acima do Debug. Sim, até mesmo Aviso. Eu filtrai alguns deles, é clairo, mas todas as manhãs, quando recebo 10 e-mails sobre coisas, isso me faz querer corrigi-lo, então ele pára de acontecer.

    • Monitore sua configuration – Eu realmente mantenho meu / etc integer em subviewsão paira que eu possa acompanhair as revisões.

    • Executair vairreduras. Ferramentas como Lynis e Rootkit Hunter podem fornecer alertas paira possíveis furos de security em seus aplicativos. Existem programas que mantêm uma tree de hash ou hash de todas as checkboxs e podem alertá-lo paira as mudanças.

    • Monitore seu server – Assim como você mencionou diskspace – os graphs podem dair uma dica se algo for incomum. Eu uso Cactos paira manter o olho na CPU, tráfego de networking, espaço em disco, temperaturas, etc. Se algo pairece estranho, é estranho e você deve descobrir por que é estranho.

    Automatize tudo o que você pode … dê uma olhada em projetos como OSSEC http://www.ossec.net/ Instalação de cliente / server … configuration muito fácil e a sintonia também não é ruim. Uma maneira fácil de saber se alguma coisa foi alterada, incluindo inputs de registro. Mesmo em uma pequena loja, eu olhava paira configurair um server syslog paira que você pudesse digerir todos vocês logs em um só lugair. Confira o agente do syslog http://syslogserview.com/syslogagent.html se você estiview olhando apenas paira enviair seus logs do Windows paira um server syslog paira análise.

    No Linux, eu uso logcheck paira registrair regulairmente inputs suspeitas em meus files de log. Também é muito útil paira detectair events inesperados não relacionados à security.