Servermissbrauch erkennen

7

Gibt es eine Standardmethode, um zu verhindern, dass gemeinsam genutzte Webserver missbraucht werden? Ich verwende eine CPanel-Box mit einigen Personen und gelegentlich eine Person, die beschließt, sie für andere DoS-Websites zu verwenden. Meine derzeitige "Erkennung" besteht darin, in Munin-Diagrammen nach Verkehrsspitzen zu suchen und dann auf der Maschine herumzustöbern, bis ich die Ursache gefunden habe.

Gibt es eine Software, mit der Angriffe sofort erkannt werden können?

Ich führe Folgendes aus: LMD - http://www.rfxn.com/projects/linux-malware-detect/ Clanscan

Diese erkennen Ihre Standard-C99-Shell oder häufig verwendete DoS-Skripte in Ordnung, erkennen jedoch keine benutzerdefinierten Inhalte.

devicenull
quelle
1
Zeit für eine bessere Kundenklasse.
John Gardeniers
Im Ernst, wenn Sie eine vertragliche Vereinbarung mit ihnen haben, können Sie einen nicht-technischen Vektor nehmen und sich entweder an den Hosting-Anbieter wenden, um zu sehen, ob sie ihr Konto wegen Verstoßes gegen ihre Nutzungsbedingungen sperren (was ein DDoS hoffentlich tut). Wenn Sie die Kontrolle haben, rm -r /home/offending_user
na ja
3
Bevor ich sie rm-rf kann, muss ich wissen, dass sie Sachen missbrauchen. In diesem Fall bin ich der Hosting-Anbieter. Der Umgang mit ihnen, sobald ich sie gefunden habe, ist der einfache Teil.
Devicenull

Antworten:

3

Ich denke, Sie suchen nach einem Intrusion Detection System (IDS) oder vielleicht einem Intrusion Prevention System (IPS). Hast du dir Snort angesehen ?

JakeRobinson
quelle
1
Mein Verständnis war, dass IDS / IPS hauptsächlich auf eingehenden Verkehr ausgerichtet war. Die Box wird nicht wirklich kompromittiert, die Leute laden freiwillig Skripte hoch, die DoS-Angriffe ausführen.
Devicenull
3
Sie können sowohl Eingangs- als auch Ausgangsfilter durchführen.
JakeRobinson
1

CSF / LFD ( http://www.configserver.com/cp/csf.html ) sind fantastisch (und kostenlos!) Und funktionieren hervorragend mit cPanel-Boxen. Es funktioniert auch gut auf Nicht-cPanel-Boxen.

Die Einrichtung Ihrer vorhandenen Box dauert weniger als 5 Minuten. Wenn Sie die Standardeinstellungen für Ihre Umgebung anpassen, werden IPs automatisch blockiert und / oder Prozesse beendet, die über die von Ihnen festgelegten Grenzen hinausgehen, und Sie erhalten eine E-Mail mit den Vorgängen.

Babul A. Mukherjee
quelle