Wie sollte ich potenzielle Bedrohungen für meine Website überwachen?

Question

Durch einen Blick auf unsere DB's Im Fehlerprotokoll stellten wir fest, dass es einen ständigen Strom nahezu erfolgreicher SQL-Injection-Angriffe gab.Durch schnelles Programmieren konnte das vermieden werden, aber wie hätte ich einen Monitor für die Datenbank und den Webserver (einschließlich POST-Anfragen) einrichten können, um dies zu überprüfen?Damit meine ich, wenn es handelsübliche Tools für Script-Kiddies gibt, gibt es dann handelsübliche Tools, die Sie auf ihr plötzliches zufälliges Interesse an Ihrer Website aufmerksam machen?

Answer 1

Lustigerweise hatte Scott Hanselman eine Beitrag auf UrlScan Dies ist eine Maßnahme, die Sie heute ergreifen können, um potenzielle Bedrohungen zu überwachen und zu minimieren.Es ist eine ziemlich interessante Lektüre.

Answer 2

URLScan scheint eine gute Option für IIS6 und 7 zu sein;Ich habe auch Folgendes gefunden: dotDefender gegen Bezahlung, die auch Apache oder IIS 5-7 abdeckt, und ich hatte eine gefunden SQL-Injection-Bereinigung ISAPI

Angesichts eines kürzlich weit verbreiteten SQL-Injection-Versuchs ist es auch erwähnenswert, dass es eine gute Idee ist, dem Datenbankbenutzerkonto Ihrer Webanwendung die Abfrage der Systemtabellen (in MS SQL Server sind es Sysobjects und Syscolumns) zu verbieten.

Ich denke, dieser Thread rechtfertigt mehr kostenlose Lösungen für Apache und andere Webserver.

Leider war die Intrusion Detection nicht das, was ich mir vorgestellt hatte, daher ist sgfree nicht gerade ein Website-Angriffsmonitor, es sei denn, ich verstehe nicht, wie es funktioniert.

Answer 3

Wenn Sie zurückgehen und Ihren App-Code ändern könnten, würde ich vorschlagen, log4j/log4net in die Anwendung zu integrieren.Von dort aus könnten Sie Code schreiben, der ein Formularfeld oder eine URL überprüft (z. B. auf global.asax-Ebene für .NET-Apps) und einen Protokolleintrag erstellt, wenn bösartiger Code erkannt wird.

Das Schöne an log4j/log4net ist, dass Sie einen Appender vom Typ E-Mail/Pager/SMS konfigurieren können, sodass Sie benachrichtigt werden, sobald der böswillige Versuch erkannt wird.

Ich bin gerade dabei, log4net-Code in unser CMS-System zu integrieren, und ich möchte genau dies angesichts der Flut von ASPRox-Angriffen tun, die auf uns zukommen.

Answer 4

Die Überwachung von Web- und DB-Zugriffsprotokollen sollte Sie auf solche Dinge aufmerksam machen, aber wenn Sie ein umfassenderes Warnsystem wünschen, würde ich eine Art IDS/IPS empfehlen.Sie benötigen jedoch eine Ersatzmaschine und einen Switch, der Portspiegelung durchführen kann.Wenn Sie über diese verfügen, ist ein IDS eine kostengünstige Möglichkeit, Ihren Datenverkehr auf viele Einbruchsversuche zu überwachen (es wird viele geben).Auf Snort (www.snort.org) basierende IDS sind hervorragend und es sind einige kostenlose, vollständig gepackte Versionen verfügbar.Eines, das ich verwendet habe, ist StrataGuard (http://sgfree.stillsecure.com/) und kann als IDS (Intrusion Detection System) oder als IPS (Intrusion Prevention System) konfiguriert werden.Die Nutzung ist kostenlos, wenn Ihr Datenverkehr 5 Mbit/s nicht überschreitet.Wenn Sie sich für ein IDS/IPS entscheiden, würde ich Ihnen raten, es etwa einen Monat lang als einfaches IDS laufen zu lassen, bevor Sie es zulassen, um Angriffe zu verhindern.

Das mag übertrieben sein, aber wenn Sie eine Ersatzmaschine herumliegen haben, kann es nicht schaden, ein IDS passiv laufen zu lassen.

Answer 5

Sie können Ihr System so einrichten, dass es eine Fehlermeldung ausgibt, die dann einen JSON- oder HTTP-Aufruf an ein System sendet, das jede Art von Warnung wie SMS/E-Mail oder einen Telefonanruf überwacht, meldet (protokolliert) und versendet.

Schauen Sie sich Developer.alertcaster.com an

Insbesondere wenn Sie mehrere gleichzeitige Ereignisse überwachen müssen, was anscheinend der Fall ist, könnte dies eine gute Lösung sein.