Wie kann ich unerwünschte Einbrüche auf meinen Servern erkennen?

16

Wie überwachen andere Administratoren ihre Server, um unbefugte Zugriffe und / oder Hacking-Versuche zu erkennen? In einer größeren Organisation ist es einfacher, die Leute auf das Problem aufmerksam zu machen, aber in einem kleineren Geschäft, wie können Sie Ihre Server effektiv überwachen?

Ich durchsuche die Server-Protokolle in der Regel nach Dingen, die auf mich zukommen, aber es ist wirklich leicht, Dinge zu übersehen. In einem Fall gab uns der geringe Festplattenspeicher einen Tipp: Unser Server wurde als FTP-Site übernommen - sie haben großartige Arbeit geleistet, indem sie die Dateien mit der FAT-Tabelle versteckt haben. Wenn Sie den Namen des Ordners nicht kennen, wird er im Explorer, unter DOS oder bei der Suche nach Dateien nicht angezeigt.

Welche anderen Techniken und / oder Werkzeuge verwenden die Menschen?

Paul Mrozowski
quelle

Antworten:

9

Dies hängt zum Teil davon ab, auf welchem ​​Systemtyp Sie ausgeführt werden. Ich werde einige Vorschläge für Linux skizzieren, da ich damit besser vertraut bin. Die meisten von ihnen gelten auch für Windows, aber ich kenne die Tools nicht ...

  • Verwenden Sie ein IDS

    SNORT® ist ein Open-Source-System zur Verhinderung und Erkennung von Netzwerkeinbrüchen, das eine regelgesteuerte Sprache verwendet und die Vorteile signatur-, protokoll- und anomaliebasierter Prüfmethoden kombiniert. Mit Millionen von Downloads ist Snort die weltweit am weitesten verbreitete Intrusion Detection- und Prevention-Technologie und hat sich zum De-facto-Standard für die Branche entwickelt.

    Snort liest den Netzwerkverkehr und kann nach Dingen wie "Drive-by-Pen-Tests" suchen, bei denen nur ein vollständiger Metasploit-Scan für Ihre Server ausgeführt wird. Nach meiner Meinung ist es gut, solche Dinge zu wissen.

  • Verwenden Sie die Protokolle ...

    Abhängig von Ihrer Verwendung können Sie es so einrichten, dass Sie wissen, wann sich ein Benutzer anmeldet oder wann sich ein Benutzer von einer ungeraden IP-Adresse anmeldet, wann sich der Root anmeldet oder wann immer jemand versucht, sich anzumelden. Ich habe tatsächlich den Server E-Mail mir jede Protokollmeldung höher als Debug. Ja sogar Beachten. Natürlich filtere ich einige von ihnen, aber wenn ich jeden Morgen 10 E-Mails mit Dingen erhalte, möchte ich das Problem beheben, damit es nicht mehr passiert.

  • Überwachen Sie Ihre Konfiguration - Ich behalte tatsächlich meine gesamte / etc in Subversion, damit ich Revisionen verfolgen kann.

  • Führen Sie Scans durch. Tools wie Lynis und Rootkit Hunter können Sie vor möglichen Sicherheitslücken in Ihren Anwendungen warnen . Es gibt Programme, die einen Hash oder Hash-Baum aller Ihrer Bins verwalten und Sie auf Änderungen hinweisen können.

  • Überwachen Sie Ihren Server - Wie Sie bereits erwähnt haben - Diagramme können Ihnen einen Hinweis geben, wenn etwas ungewöhnlich ist. Ich benutze Cacti , um CPU, Netzwerkverkehr, Speicherplatz, Temperaturen usw. im Auge zu behalten. Wenn etwas seltsam aussieht , ist es seltsam und Sie sollten herausfinden, warum es seltsam ist.

Tom Ritter
quelle
+1 für / etc in Subversion!
Andy Lee Robinson
Ohne etwas über SNORT zu wissen, habe ich vor 10 Jahren angefangen, mein eigenes IDS zu schreiben, es aber noch nicht veröffentlicht. Es analysiert gepipte Syslogs / Apache-Logs in Echtzeit mit Perl und MySQL mit Iptables. Wenn in einem Zeitraum N Ereignisse oder Sofortereignisse (w00tw00t usw.) auftreten, wird die Adresse durch eine Firewall geschützt, einer DNS-Bl hinzugefügt und eine Beschwerde an den Internetdienstanbieter gesendet. 95% der ISPs sind delinquent, so dass eine Blacklist mit schlechten ISPs aus zurückgesendeten Mails mit sendmail und mysql erstellt wird, obwohl es einige Erfolge bei der Bereinigung kompromittierter Maschinen hat und einige Befriedigung bringt.
Andy Lee Robinson
2

Automatisieren Sie alles, was Sie können ... werfen Sie einen Blick auf Projekte wie OSSEC http://www.ossec.net/ Client / Server-Installation ... wirklich einfaches Setup und das Tuning ist auch nicht schlecht. Einfache Methode, um festzustellen, ob Änderungen vorgenommen wurden, einschließlich Registrierungseinträgen. Sogar in einem kleinen Geschäft würde ich einen Syslog-Server einrichten, damit Sie alle Ihre Protokolle an einem Ort verarbeiten können. Überprüfen Sie den Syslog-Agenten http://syslogserver.com/syslogagent.html, wenn Sie Ihre Windows-Protokolle nur zur Analyse an einen Syslog-Server senden möchten.

trent
quelle
2

Unter Linux verwende ich logcheck, um regelmäßig verdächtige Einträge in meinen Protokolldateien zu melden. Es ist auch sehr nützlich, um nicht sicherheitsrelevante unerwartete Ereignisse zu erkennen.

Mikeage
quelle
Diese Domain steht jetzt zum Verkauf - das Tool kann dort nicht gefunden werden.
Andreas Reiff