Wie überwachen andere Administratoren ihre Server, um unbefugte Zugriffe und / oder Hacking-Versuche zu erkennen? In einer größeren Organisation ist es einfacher, die Leute auf das Problem aufmerksam zu machen, aber in einem kleineren Geschäft, wie können Sie Ihre Server effektiv überwachen?
Ich durchsuche die Server-Protokolle in der Regel nach Dingen, die auf mich zukommen, aber es ist wirklich leicht, Dinge zu übersehen. In einem Fall gab uns der geringe Festplattenspeicher einen Tipp: Unser Server wurde als FTP-Site übernommen - sie haben großartige Arbeit geleistet, indem sie die Dateien mit der FAT-Tabelle versteckt haben. Wenn Sie den Namen des Ordners nicht kennen, wird er im Explorer, unter DOS oder bei der Suche nach Dateien nicht angezeigt.
Welche anderen Techniken und / oder Werkzeuge verwenden die Menschen?
Automatisieren Sie alles, was Sie können ... werfen Sie einen Blick auf Projekte wie OSSEC http://www.ossec.net/ Client / Server-Installation ... wirklich einfaches Setup und das Tuning ist auch nicht schlecht. Einfache Methode, um festzustellen, ob Änderungen vorgenommen wurden, einschließlich Registrierungseinträgen. Sogar in einem kleinen Geschäft würde ich einen Syslog-Server einrichten, damit Sie alle Ihre Protokolle an einem Ort verarbeiten können. Überprüfen Sie den Syslog-Agenten http://syslogserver.com/syslogagent.html, wenn Sie Ihre Windows-Protokolle nur zur Analyse an einen Syslog-Server senden möchten.
quelle
Unter Linux verwende ich logcheck, um regelmäßig verdächtige Einträge in meinen Protokolldateien zu melden. Es ist auch sehr nützlich, um nicht sicherheitsrelevante unerwartete Ereignisse zu erkennen.
quelle