Как я могу обнаружить нежелательные вторжения на мои серверы?

Как другие администраторы контролируют свои серверы для обнаружения любых попыток несанкционированного доступа и / или взлома? В крупной организации легче бросить людей на проблему, но в меньшем магазине, как вы можете эффективно контролировать свои серверы?

Я склонен сканировать журналы сервера в поисках чего-то, что бросается в глаза, но это действительно легко пропустить. В одном случае нам не хватало места на жестком диске: наш сервер стал FTP-сайтом - они отлично поработали, скрыв файлы, покопавшись в таблице FAT. Если вы не знаете конкретное имя папки, оно не будет отображаться в Проводнике, из DOS или при поиске файлов.

Какие еще методы и / или инструменты используют люди?

Это частично зависит от того, на какой системе вы работаете. Я изложу некоторые предложения для Linux, потому что я более знаком с ним. Большинство из них относится и к Windows, но я не знаю, инструменты ...

• Используйте IDS

  SNORT® - это система с открытым исходным кодом для предотвращения и обнаружения вторжений, использующая язык на основе правил, который сочетает в себе преимущества методов проверки на основе сигнатур, протоколов и аномалий. На данный момент Snort является самой распространенной технологией обнаружения и предотвращения вторжений, которая стала стандартом де-факто для отрасли.

  Snort считывает сетевой трафик и может искать такие вещи, как «тестирование с помощью пера», когда кто-то просто выполняет полное сканирование метасплойтов на ваших серверах. Приятно знать такие вещи, на мой взгляд.

• Используйте журналы ...

  В зависимости от вашего использования вы можете настроить его так, чтобы вы знали, когда пользователь входит в систему или входит с нечетного IP-адреса, или всякий раз, когда root входит в систему, или когда кто-то пытается войти в систему. На самом деле, у меня есть сервер, который посылает мне по электронной почте каждое сообщение в журнале выше, чем Debug. Да, даже обратите внимание. Я, конечно, фильтрую некоторые из них, но каждое утро, когда я получаю 10 писем о вещах, это заставляет меня хотеть исправить это, чтобы это перестало происходить.

• Контролируйте свою конфигурацию - я фактически держу весь / etc в subversion, чтобы я мог отслеживать ревизии.

• Запустите сканирование. Такие инструменты, как Lynis и Rootkit Hunter, могут предупредить вас о возможных дырах в безопасности ваших приложений. Существуют программы, которые поддерживают хэш или дерево хешей всех ваших корзин и могут предупреждать вас об изменениях.

• Контролируйте свой сервер - так же, как вы упомянули дисковое пространство - графики могут дать вам подсказку, если что-то необычное. Я использую кактусы , чтобы держать глаз на CPU, сетевого трафика, дискового пространства, температуры и т.д. Если что - то выглядит странно, это странно , и вы должны выяснить , почему это странно.

Автоматизируйте все, что вы можете ... взгляните на такие проекты, как OSSEC http://www.ossec.net/ Установка клиент / сервер ... действительно простая установка, и настройка тоже неплохая. Простой способ узнать, если что-то было изменено, включая записи в реестре. Даже в небольшом магазине я бы посмотрел на настройку сервера системного журнала, чтобы вы могли переварить все ваши журналы в одном месте. Обратитесь к агенту системного журнала http://syslogserver.com/syslogagent.html, если вы только хотите отправить свои журналы Windows на сервер системного журнала для анализа.

В Linux я использую logcheck, чтобы регулярно сообщать о подозрительных записях в моих файлах журнала. Это также очень полезно для обнаружения непредвиденных событий, не связанных с безопасностью.