서버에서 원치 않는 침입을 어떻게 탐지합니까?


16

다른 관리자가 무단 액세스 및 / 또는 해킹 시도를 탐지하기 위해 서버를 어떻게 모니터링합니까? 규모가 큰 조직에서는 사람들을 문제에 빠뜨리는 것이 쉽지만 소규모 상점에서는 어떻게 서버를 효과적으로 모니터링 할 수 있습니까?

나는 서버 로그를 스캔하여 나에게 튀어 나오는 것을 찾는 경향이 있지만 실제로는 놓치기 쉽습니다. 하드 드라이브 공간이 부족한 경우가 있습니다. 서버가 FTP 사이트로 인계되었습니다. FAT 테이블을 망쳐 서 파일을 숨기는 데 큰 도움이되었습니다. 폴더의 특정 이름을 모르면 탐색기, DOS 또는 파일을 검색 할 때 폴더에 표시되지 않습니다.

사람들이 사용하는 다른 기술 및 / 또는 도구는 무엇입니까?

답변:


9

실행중인 시스템 유형에 따라 다릅니다. 나는 리눅스에 대해 더 잘 알고 있기 때문에 리눅스에 대한 몇 가지 제안을 할 것이다. 그들 대부분은 Windows에도 적용되지만 도구를 모르겠습니다 ...

  • IDS 사용

    SNORT®는 규칙 기반 언어를 사용하는 오픈 소스 네트워크 침입 방지 및 탐지 시스템으로 서명, 프로토콜 및 이상 기반 검사 방법의 이점을 결합합니다. Snort는 현재까지 수백만 건의 다운로드를 통해 전 세계에서 가장 널리 보급 된 침입 탐지 및 방지 기술이며 사실상 업계의 표준이되었습니다.

    Snort는 네트워크 트래픽을 읽고 누군가가 서버에 대해 전체 메타 스플 로이트 스캔을 실행하는 "펜 테스트로 구동"과 같은 것을 찾을 수 있습니다. 제 생각에는 이런 종류의 것들을 아는 것이 좋습니다.

  • 로그를 사용하십시오 ...

    사용량에 따라 사용자가 로그인하거나 홀수 IP에서 로그인 할 때 또는 루트 로그인 또는 누군가 로그인을 시도 할 때마다 알 수 있도록 설정할 수 있습니다. 실제로 서버 는 디버그보다 높은 모든 로그 메시지를 전자 메일로 보냅니다 . 예, 심지어 고시. 물론 그중 일부를 필터링하지만 매일 아침 물건에 대한 10 개의 이메일을 받으면 문제가 해결되도록 수정하고 싶습니다.

  • 구성 모니터링-실제로 전체 / etc를 하위 버전으로 유지하므로 개정을 추적 할 수 있습니다.

  • 스캔을 실행하십시오. LynisRootkit Hunter 와 같은 도구 를 사용하면 응용 프로그램의 보안 허점에 대해 경고 할 수 있습니다. 모든 저장소의 해시 또는 해시 트리를 유지 관리하고 변경 사항을 경고하는 프로그램이 있습니다.

  • 디스크 공간을 언급 한 것처럼 서버를 모니터하십시오. 그래프는 무언가 비정상적인 경우 힌트를 줄 수 있습니다. 내가 사용하는 선인장을 뭔가 경우 등 CPU, 네트워크 트래픽, 디스크 공간, 온도에 눈을 유지하는 모습이 홀수가 있다 홀수가 이상한 이유를 알아해야한다.


서브 버전에서 / etc에 +1!
Andy Lee Robinson

SNORT에 대해 알지 못하면서 10 년 전에 IDS를 작성하기 시작했지만 아직 게시하지 않았습니다. perl을 사용하여 파이프 syslogs / apache 로그를 실시간으로 구문 분석하고 iptables를 사용하여 mysql을 구문 분석합니다. 일정 기간 동안 N 개의 이벤트가 있거나 즉시 (w00tw00t 등) 주소는 방화벽으로 설정되어 dnsbl에 추가되고 ISP에 불만을 발생시킵니다. ISP의 95 %가 체납되었으므로 sendmail 및 mysql을 사용하여 반송 메일에서 잘못된 ISP의 블랙리스트를 생성하지만 손상된 시스템을 정리하는 데 약간의 성공을 거두고 만족도를 얻습니다.
Andy Lee Robinson

2

OSSEC http://www.ossec.net/ Client / server install ... 프로젝트를 살펴보십시오 . 정말 쉬운 설정과 튜닝도 나쁘지 않습니다. 레지스트리 항목을 포함하여 변경된 내용이 있는지 쉽게 확인할 수 있습니다. 작은 상점에서도 syslog 서버를 설정하여 모든 로그를 한곳에서 요약 할 수 있습니다. 분석을 위해 Windows 로그를 syslog 서버로 보내려는 경우 syslog 에이전트 http://syslogserver.com/syslogagent.html을 확인하십시오 .


2

Linux에서는 logcheck 를 사용 하여 로그 파일에 의심스러운 항목을 정기적으로보고합니다. 또한 비보안 관련 예기치 않은 이벤트를 감지하는 데 매우 유용합니다.


해당 도메인은 현재 판매 중입니다. 도구를 찾을 수 없습니다.
Andreas Reiff
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.