Como devo monitorar possíveis ameaças ao meu site?
https://stackoverflow.com/questions/8508
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Ao olhar para o nosso DB's log de erros, descobrimos que havia um fluxo constante de ataques de injeção de SQL quase bem-sucedidos.Alguma codificação rápida evitou isso, mas como eu poderia configurar um monitor para o banco de dados e o servidor Web (incluindo solicitações POST) para verificar isso?Com isso quero dizer, se existem ferramentas prontas para uso para script-kiddies, existem ferramentas prontas para alertá-lo sobre o interesse repentino e aleatório em seu site?
Solução
Curiosamente, Scott Hanselman teve um postar no UrlScan hoje, o que você pode fazer para ajudar a monitorar e minimizar ameaças potenciais.É uma leitura bastante interessante.
Outras dicas
UrlScan parece uma boa opção para iis6 e 7;Eu também encontrei: dotDefender por pagamento, que também cobre Apache ou IIS 5-7, e eu encontrei um Saneamento de injeção SQL ISAPI
Também é importante notar, à luz de uma tentativa recente e generalizada de injeção de SQL, que proibir a conta de usuário db do seu webapp de consultar as tabelas do sistema (no MS SQL Server são sysobjects e syscolumns) é uma boa ideia.
Acho que este tópico garante mais soluções gratuitas para Apache e outros servidores web.
Infelizmente, a detecção de intrusões não era o que eu tinha em mente, então o sgfree não é exatamente um monitor de ataque a sites, a menos que eu não entenda como funciona.
Se você pudesse voltar e modificar o código do seu aplicativo, sugiro integrar o log4j/log4net ao aplicativo.A partir daí, você pode escrever um código que verifique um campo de formulário ou URL (digamos, no nível global.asax para aplicativos .NET) e faça uma entrada de log quando um código malicioso for detectado.
O bom do log4j/log4net é que você pode configurar um anexador do tipo e-mail/pager/SMS para que, assim que a tentativa maliciosa for detectada, você seja notificado.
Estou no processo de mesclar algum código log4net em nosso sistema CMS que temos e pretendo fazer exatamente isso à luz do influxo de ataques ASPRox que estão surgindo em nossa direção.
O monitoramento de logs de acesso à Web e ao banco de dados deve alertá-lo sobre coisas como esta, mas se você quiser um sistema de alerta com mais recursos, sugiro algum tipo de IDS/IPS.Você precisará de uma máquina sobressalente e de um switch que possa fazer o espelhamento de portas.Se você os tiver, um IDS é uma maneira barata de monitorar seu tráfego em busca de muitas tentativas de intrusão (haverá muitas).IDSs baseados em Snort (www.snort.org) são excelentes e existem algumas versões gratuitas totalmente empacotadas disponíveis.Um que usei é o StrataGuard (http://sgfree.stillsecure.com/) e pode ser configurado como IDS (Intrusion Detection System) ou como IPS (Intrusion Prevention System).O uso é gratuito se o seu tráfego não exceder 5 Mbps.Se você usar um IDS/IPS, recomendo deixá-lo funcionar como um IDS simples por mais ou menos um mês, antes de permitir a prevenção de ataques.
Isso pode ser um exagero, mas se você tiver uma máquina sobressalente disponível, não fará mal nenhum ter um IDS rodando passivamente.
Você pode configurar seu sistema para enviar alguma mensagem de erro que, em seguida, faz uma chamada JSON ou http para um sistema que irá monitorar, relatar (registrar) e enviar qualquer tipo de alerta, como SMS/e-mail ou uma chamada telefônica.
Confira desenvolvedor.alertcaster.com
Especialmente se você precisar monitorar vários eventos simultâneos, o que parece estar acontecendo, esta pode ser uma boa solução.
