web-dev-qa-db-ja.com

サーバー上の不要な侵入を検出するにはどうすればよいですか?

他の管理者はどのようにしてサーバーを監視して、不正アクセスやハッキングの試みを検出していますか?大規模な組織では、問題に人を投げかける方が簡単ですが、小規模なショップでは、サーバーを効果的に監視するにはどうすればよいでしょうか。

私はサーバーログをスキャンして、私に飛びついて何かを探す傾向がありますが、見落としがちです。あるケースでは、ハードドライブの空き容量が少ないという結果に終わりました。サーバーはFTPサイトに引き継がれました。FATテーブルをいじってファイルを非表示にするというすばらしい仕事をしました。フォルダーの具体的な名前を知らない限り、フォルダーはエクスプローラー、DOS、またはファイルの検索時に表示されません。

他にどのようなテクニックやツールを使用していますか?

16
Paul Mrozowski

それは、実行しているシステムのタイプに部分的に依存します。私はLinuxに慣れているので、Linuxのいくつかの提案を概説します。それらのほとんどはWindowsにも適用されますが、ツールがわかりません...

  • IDSを使用する

    SNORT®は、ルール駆動型言語を利用したオープンソースネットワーク侵入防止および検出システムであり、署名、プロトコル、および異常ベースの検査方法の利点を組み合わせています。現在までに何百万ものダウンロードがあり、Snortは世界で最も広く導入されている侵入検知および防止テクノロジーであり、業界の事実上の標準となっています。

    Snortはネットワークトラフィックを読み取り、サーバーに対してmetasploitスキャン全体を実行する「ドライブバイペンテスト」のようなものを探すことができます。私の意見では、このようなことを知るのは良いことです。

  • ログを使用...

    使用方法に応じて、ユーザーがログインするとき、または奇妙なIPからログインするとき、rootがログインするとき、または誰かがログインしようとするときを常に把握できるように設定できます。私は実際にサーバーにデバッグeveryすべてのログメッセージを電子メールで送信させています。はい、通知さえ。もちろん、それらの一部をフィルタリングしますが、毎朝、ものについて10通のメールを受け取ったとき、それを修正して、発生を止めさせます。

  • 設定を監視する-実際に/ etc全体をSubversionに保持して、リビジョンを追跡できるようにします。

  • スキャンを実行します。 LynisRootkit Hunter などのツールを使用すると、アプリケーションにセキュリティホールが存在する可能性があることを警告できます。すべてのビンのハッシュまたはハッシュツリーを維持し、変更を警告できるプログラムがあります。

  • サーバーを監視する-ディスクスペースについて述べたように-異常が発生した場合、グラフからヒントが得られます。私は Cacti を使用して、CPU、ネットワークトラフィック、ディスク容量、温度などを監視しています。何か奇妙に見える場合is奇数であり、それがなぜ奇数であるかを理解する必要があります。

9
Tom Ritter

できるすべてを自動化する... OSSECのようなプロジェクトを見てみましょう http://www.ossec.net/ クライアント/サーバーのインストール...本当に簡単なセットアップで、チューニングも悪くありません。レジストリエントリを含め、何かが変更されたかどうかを簡単に確認できます。小さな店でも、syslogサーバーをセットアップして、すべてのログを1か所で要約できるようにすることを検討しました。分析のためにWindowsログをsyslogサーバーに送信することのみを検討している場合は、syslogエージェント http://syslogserver.com/syslogagent.html を確認してください。

2
trent

Linuxでは、 logcheck を使用して、疑わしいエントリをログファイルに定期的に報告しています。また、セキュリティに関連しない予期しないイベントを検出するのにも非常に役立ちます。

2
Mikeage