我应该如何监控我的网站的潜在威胁?
https://stackoverflow.com/questions/8508
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
通过查看我们的 DB's 错误日志中,我们发现源源不断的几乎成功的SQL注入攻击。一些快速编码可以避免这种情况,但我如何为数据库和 Web 服务器(包括 POST 请求)设置监视器来检查这一点?我的意思是,如果有针对脚本小子的现成工具,是否有现成工具可以提醒您他们突然对您的网站产生了随机兴趣?
解决方案
有趣的是,斯科特汉塞尔曼有一个 发布在 UrlScan 上 今天,这是您可以做的一件事来帮助监控和最大程度地减少潜在威胁。这是一本非常有趣的读物。
其他提示
网址扫描 对于 iis6 和 7 来说似乎确实是一个不错的选择;我还发现: 点卫士 付费,还涵盖 Apache 或 IIS 5-7,我找到了一个 SQL 注入卫生 ISAPI
还值得注意的是,鉴于最近广泛传播的 SQL 注入尝试,禁止 Web 应用程序的 db 用户帐户查询系统表(在 MS SQL Server 中为 sysobjects 和 syscolumns)是一个好主意。
我认为这个线程保证为 Apache 和其他 Web 服务器提供更多免费的解决方案。
不幸的是,入侵检测并不是我想要的,所以 sgfree 并不完全是一个网站攻击监视器,除非我不明白它是如何工作的。
如果您可以返回并修改您的应用程序代码,我建议将 log4j/log4net 集成到应用程序中。从那里您可以编写代码来检查表单字段或 URL(例如在 .NET 应用程序的 global.asax 级别),并在检测到恶意代码时创建日志条目。
log4j/log4net 的好处是您可以配置电子邮件/寻呼机/SMS 类型附加程序,以便一旦发现恶意尝试,您就会收到通知。
我正在将一些 log4net 代码合并到我们拥有的 CMS 系统中,并且我希望根据不断涌入的 ASPRox 攻击来做到这一点。
监控网络和数据库访问日志应该会提醒您类似的事情,但如果您想要一个功能更齐全的警报系统,我会建议某种 IDS/IPS。不过,您需要一台备用机器和一个可以进行端口镜像的交换机。如果您有这些,那么 IDS 是一种监视流量以防止多次入侵尝试(将会有很多)的廉价方法。基于 Snort (www.snort.org) 的 IDS 非常出色,并且有一些免费的完整打包版本可用。我用过的一个是 StrataGuard (http://sgfree.stillsecure.com/),并且可以配置为IDS(入侵检测系统)或IPS(入侵防御系统)。如果您的流量不超过 5Mbps,则可以免费使用。如果您确实使用 IDS/IPS,我建议您先让它作为简单的 IDS 运行一个月左右,然后再允许它防止攻击。
这可能有点过分了,但是如果您有一台备用机器,被动运行 IDS 也没什么坏处。
您可以将系统设置为踢出一些错误消息,然后向系统发出 JSON 或 http 调用,该系统将监视、报告(日志)并发送任何类型的警报,例如短信/电子邮件或电话。
查看developer.alertcaster.com
特别是如果您需要监视多个同时发生的事件,这听起来像是您正在发生的事情,这可能是一个很好的解决方案。
