Comment dois-je surveiller les menaces potentielles pour mon site?
https://stackoverflow.com/questions/8508
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
En regardant notre DB's journal des erreurs, nous avons constaté qu'il y avait un flux constant de près de réussite des attaques par injection SQL.Certains encodage rapide évité, mais comment ai-je pu l'installation d'un moniteur pour à la fois la base de données et serveur Web (y compris les requêtes POST) pour vérifier cela?Par cela, je veux dire si il y a sur l'étagère des outils de script-kiddies, sont là, sur l'étagère des outils qui vous alertera à leur soudaine aléatoire intérêt dans votre site?
La solution
Curieusement, Scott, Hanselman avait un post sur UrlScan aujourd'hui, ce qui est une chose que vous pouvez faire pour aider à surveiller et à réduire les menaces potentielles.C'est assez intéressant à lire.
Autres conseils
UrlScan semble comme une option intéressante pour iis6 et 7;J'ai aussi trouvé: dotDefender pour un salaire qui couvre également d'Apache ou IIS 5 à 7, et j'avais trouvé un SQL Injection d'assainissement ISAPI
Il est également intéressant de noter, à la lumière d'un récent à l'échelle de la propagation de l'Injection SQL tentative de dissallowing votre webapp pd compte d'utilisateur à partir de l'interrogation du système de tableaux (MS SQL Server, il est sysobjects et syscolumns) est une bonne idée.
Je pense que ce fil mérite davantage de solutions libres pour Apache et d'autres serveurs web.
Malheureusement, la détection d'intrusion n'était pas ce que j'avais à l'esprit, afin sgfree n'est pas exactement un site web d'attaque moniteur, à moins que je ne suis pas à comprendre comment il fonctionne.
Si vous pouviez revenir en arrière et modifier votre code d'application, je vous conseille d'arriver log4j/log4net intégré à l'application.À partir de là, vous pouvez écrire du code qui permettrait de contrôler un champ de formulaire ou l'URL (disons à l'échelle mondiale.asax niveau pour .NET applications) et de faire une entrée de journal lorsque le code malveillant est détecté.
La bonne chose à propos de log4j/log4net est que vous pouvez configurer une adresse e-mail/pager/SMS type de appender, donc dès que le malveillant tentative a été pris, vous serez averti.
Je suis dans le processus de la fusion de certains log4net code dans notre système CMS, nous avons et je suis à la recherche de le faire en raison de l'afflux de ASPRox les attaques qui ont été à venir à notre façon.
Surveillance web de base de données et les journaux d'accès doit vous alerter sur des choses comme cela, mais si vous voulez un plus complet système d'alerte je dirais une sorte de IDS/IPS.Vous aurez besoin d'une machine de rechange si, et un commutateur qui peut faire de la mise en miroir des ports.Si vous avez alors un IDS est un bon moyen de surveillance de votre trafic pour de nombreuses tentatives d'intrusion (il y en aura beaucoup).Snort (www.snort.org) en fonction des Ids sont excellents, et il y a quelques gratuit versions disponibles.Celui que j'ai utilisé est StrataGuard (http://sgfree.stillsecure.com/), et il peut être configuré comme un IDS (Intrusion Detection System) ou comme un IPS (Système de Prévention d'Intrusion).Il est libre d'utiliser, si ce trafic ne dépasse pas 5 mbps.Si vous allez avec un IDS/IPS, je vous conseille de le laisser courir comme un simple ID pour un mois ou deux, avant de vous permettre de prévenir les attaques.
Ce peut-être exagéré, mais si vous avez une machine de rechange qui traînent, il ne peut pas faire de mal à avoir une ID de course de manière passive.
Vous pouvez configurer votre système pour lancer des messages d'erreur qui fait alors un JSON ou http appel à un dispositif de suivi, de rapport (log) et d'envoyer tout type d'alerte de SMS/e-mail ou un appel téléphonique.
Découvrez developer.alertcaster.com
Surtout si vous avez besoin de surveiller simultanément plusieurs événements, dont il semble que vous avez en cours, cela peut être une bonne correction.
