어떻게 모니터링해야 하는 잠재적 위협을 내니까?

Question

보고서 우리의 DB's 오류 로그에,우리는이 있었다는 것을 것을을 발견했 일정한 시내의 거의 성공적인 SQL injection attacks.일부는 빠른 코딩을 피할 수는 있지만,어떻게 설정해야 감시자 모두에 대한 DB 및 웹 서버(POST 요청을 포함하여)확인에 대한 이?이로써 나는 의미가 있는 경우 선반 도구에 대한 스크립트-꼬마가 있 선반 도구를 하는 것입니다 경고 갑자기 자신의 임의 관심에서 당신의 사이트입니까?

Answer 1

충분히 재미있게,스콧 hanselman 은 했 게시물에 UrlScan 오늘은 한 가지 당신을 위해서 할 수 있는 일을 모니터링을 최소화하고 잠재적인 위협입니다.그것은 꽤 흥미로운 읽습니다.

Answer 2

UrlScan 않는 것처럼 좋은 옵션에 대한 lls6 에 7;또한 발견: dotDefender 에 대한 지불한 아파치 또는 IIS5-7,나를 발견 SQL Injection 위생 ISAPI

그것은 또한 주목할만한 빛에서의 최근 광범위한 확산 SQL Injection 시도는 dissallowing 웹 애플리케이션의 db 사용자 계정에서 쿼리하는 시스템이블(MS SQL Server 그것은 시스템 개체의 이름과 syscolumns)는 것이 좋습니다.

나는 생각이 스레드 더 보증 솔루션을 위해 아파치 및 기타 웹 서버에 있습니다.

불행하게도 침입 탐지되지 않았는 무엇 나는 마음 속에,그래서 sgfree 지 않는 정확하게 웹사이트 공격을 모니터링하지 않는 한,내가 이해하지 어떻게 작동합니다.

Answer 3

할 수 있다면 돌아가고,수정하는 응용 프로그램 코드,내가 하는 것이 좋 log4j/log4net 응용 프로그램에 통합.거기에서 당신은 수 있는 코드를 작성하는 것을 확인 폼 분야 또는 URL 을(말에 글로벌입니다.맨 수준이다.NET 앱)고 로그 항목을 때 악성 코드가 감지되었습니다.

좋은 일에 대한 log4j/log4net 구성할 수 있는 e-mail/호출기/SMS 유형에 추가로 악의적인 시도 잡혔을 확보할 수 있습니다.

나는 과정에서 병합의 일부 log4net 코드를 우리의 CMS 시스템리고 나는 그냥 이렇게에서의 빛의 유입 ASPRox 는 공격되었습니다.

Answer 4

모니터링 웹사 및 DB 로그에 액세스해야 하는 경고 당신과 같은 것들이,하지만 당신이 원하는 경우는 더욱 완벽하게 갖추고 경고 시스템 내가 제안하는 것이 어떤 종류의 IDS/IPS.당신은 필요한 예비 기록,그리고 스위치 할 수있는 포트할 수 있습니다.이 있는 경우 그 다음 ID 저렴한 방법을 모니터링 트래픽이 많은 침입도(제비가 있을 것이다).Snort(www.snort.org)기반 ids 와이 우수하고 있는데,무료 완전히 포장된 버전을 사용할 수 있습니다.하나는 내가 사용 StrataGuard(http://sgfree.stillsecure.com/고),그것으로 구성할 수 있습니다 ID(침입 탐지 시스템)또는 IPS(Intrusion Prevention System).그것은 무료로 사용하는 경우에 당신의 트래픽을 초과하지 않는 5mbps 로.으로 이동 할 경우 IDS/IPS 당신이 그것을 실행으로 간단하 ID 를 달거나기 전에 그래서,당신은 그것을 허용하는 공격을 방지합니다.

이 될 수 있습 잔인,하지만 당신은 여기 주위에 거짓말을 할 수 없는 상처를 ID 를 실행하는 수동적으로.

Answer 5

당신은 설정할 수 있습니다 당신의 시스템을 걷어 어떤 오류 메시지는 다음 JSON 또는 http 화하는 시스템 모니터링,보고서가(로그인)보내는 모든 종류의 경고와 같은 SMS/이메일이나 전화 통화.

체크아웃 developer.alertcaster.com

특히 필요하신 경우에는 모니터에 동시에 여러 개의 이벤트는 같은 소리가 있고,이 될 수 있다.