Come dovrei monitorare le potenziali minacce al mio sito?
https://stackoverflow.com/questions/8508
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Guardando il nostro DB's log degli errori, abbiamo scoperto che c'era un flusso costante di attacchi SQL injection quasi riusciti.Alcuni codici rapidi lo hanno evitato, ma come avrei potuto impostare un monitor sia per il DB che per il server Web (comprese le richieste POST) per verificarlo?Con questo intendo dire che se ci sono strumenti pronti per gli script-kiddie, ci sono strumenti pronti che ti avviseranno del loro improvviso e casuale interesse per il tuo sito?
Soluzione
Stranamente, Scott Hanselman aveva un pubblica su UrlScan oggi, che è una cosa che potresti fare per monitorare e ridurre al minimo le potenziali minacce.È una lettura piuttosto interessante.
Altri suggerimenti
URLScan sembra una buona opzione per iis6 e 7;Ho trovato anche: puntoDefender a pagamento che copre anche Apache o IIS 5-7, e avevo trovato un ISAPI di igiene SQL Injection
Vale anche la pena notare, alla luce di un recente e diffuso tentativo di SQL Injection, che impedire all'account utente db della tua webapp di eseguire query sulle tabelle di sistema (in MS SQL Server sono sysobjects e syscolumns) è una buona idea.
Penso che questo thread garantisca più soluzioni gratuite per Apache e altri server web.
Sfortunatamente il rilevamento delle intrusioni non era quello che avevo in mente, quindi sgfree non è esattamente un monitor di attacchi per siti web, a meno che non capisca come funziona.
Se potessi tornare indietro e modificare il codice dell'app, suggerirei di integrare log4j/log4net nell'applicazione.Da lì potresti scrivere codice che controlli un campo modulo o un URL (ad esempio a livello global.asax per le app .NET) e crei una voce di registro quando viene rilevato codice dannoso.
La cosa bella di log4j/log4net è che puoi configurare un appender di tipo e-mail/cercapersone/SMS in modo che non appena venga rilevato il tentativo dannoso, verrai avvisato.
Sto unendo parte del codice log4net nel nostro sistema CMS di cui disponiamo e sto cercando di farlo alla luce dell'afflusso di attacchi ASPRox che ci sono arrivati.
Il monitoraggio dei registri di accesso al Web e al DB dovrebbe avvisarti di cose come questa, ma se desideri un sistema di avviso più completo suggerirei una sorta di IDS/IPS.Avrai però bisogno di una macchina di riserva e di uno switch in grado di eseguire il mirroring delle porte.Se li hai, un IDS è un modo economico per monitorare il tuo traffico per molti tentativi di intrusione (ce ne saranno molti).Gli IDS basati su Snort (www.snort.org) sono eccellenti e sono disponibili alcune versioni gratuite completamente pacchettizzate.Uno che ho usato è StrataGuard (http://sgfree.stillsecure.com/), e può essere configurato come IDS (Intrusion Detection System) o come IPS (Intrusion Prevention System).È gratuito se il tuo traffico non supera i 5 Mbps.Se utilizzi un IDS/IPS, ti consiglio di lasciarlo funzionare come un semplice IDS per circa un mese, prima di consentirgli di prevenire gli attacchi.
Questo potrebbe essere eccessivo, ma se hai una macchina di riserva in giro non può far male avere un IDS che funziona passivamente.
Puoi configurare il tuo sistema per emettere alcuni messaggi di errore che poi effettuano una chiamata JSON o http a un sistema che monitorerà, riporterà (registrerà) e invierà qualsiasi tipo di avviso come SMS/e-mail o una telefonata.
Dai un'occhiata a Developer.alertcaster.com
Soprattutto se hai bisogno di monitorare più eventi simultanei, cosa che sembra che tu stia accadendo, questa potrebbe essere una buona soluzione.
