मैं अपने सर्वर पर अवांछित घुसपैठ का पता कैसे लगा सकता हूं?

किसी भी अनधिकृत पहुंच और / या हैकिंग प्रयासों का पता लगाने के लिए अन्य व्यवस्थापक अपने सर्वर की निगरानी कैसे कर रहे हैं? एक बड़े संगठन में समस्या पर लोगों को फेंकना आसान है, लेकिन एक छोटी दुकान में आप अपने सर्वर की प्रभावी निगरानी कैसे कर सकते हैं?

मैं सर्वर लॉग के माध्यम से स्कैन करने के लिए कुछ भी है कि मुझ पर कूदता है, लेकिन यह बहुत आसान है चीजों को याद करते हैं। एक मामले में हमें कम हार्ड ड्राइव स्थान से हटा दिया गया था: हमारे सर्वर को एफ़टीपी साइट के रूप में लिया गया था - उन्होंने एफएटी तालिका के साथ खिलवाड़ करके फाइलों को छिपाने का एक बड़ा काम किया। जब तक आप उस फ़ोल्डर का विशिष्ट नाम नहीं जानते थे, जो एक्सप्लोरर में, डॉस से, या फाइलों की खोज करते समय दिखाई नहीं देगा।

अन्य तकनीकों और / या उपकरण का उपयोग करने वाले लोग क्या कर रहे हैं?

यह आंशिक रूप से इस बात पर निर्भर करता है कि आप किस प्रकार की प्रणाली पर चल रहे हैं। मैं लिनक्स के लिए कुछ सुझावों को रेखांकित करूंगा, क्योंकि मैं इससे परिचित हूं। उनमें से ज्यादातर विंडोज पर भी लागू होते हैं, लेकिन मुझे उपकरण नहीं पता ...

• एक आईडी का उपयोग करें

  SNORT® एक ओपन सोर्स नेटवर्क घुसपैठ रोकथाम और डिटेक्शन सिस्टम है जो एक नियम-संचालित भाषा का उपयोग करता है, जो हस्ताक्षर, प्रोटोकॉल और विसंगति आधारित निरीक्षण विधियों के लाभों को जोड़ती है। लाखों डाउनलोड के साथ, स्नॉर्ट दुनिया भर में सबसे व्यापक रूप से घुसपैठ घुसपैठ और रोकथाम तकनीक है और उद्योग के लिए वास्तविक मानक बन गया है।

  स्नॉर्ट नेटवर्क ट्रैफ़िक पढ़ता है और "पेन परीक्षण द्वारा ड्राइव" जैसी चीज़ों की तलाश कर सकता है, जहां कोई व्यक्ति आपके सर्वर के खिलाफ संपूर्ण मेटस्प्लोइट स्कैन चलाता है। मेरी राय में, इस तरह की चीजों को जानने के लिए अच्छा है।

• लॉग का उपयोग करें ...

  अपने उपयोग के आधार पर आप इसे सेट कर सकते हैं ताकि आप जान सकें कि जब कोई उपयोगकर्ता लॉग इन करता है, या किसी विषम आईपी से लॉग इन करता है, या जब भी रूट लॉग इन करता है, या जब भी कोई लॉगिन करने का प्रयास करता है। मेरे पास वास्तव में सर्वर है जो मुझे हर लॉग संदेश को डीबग से अधिक ई-मेल करता है । हाँ, यहां तक ​​कि नोटिस। मैं उनमें से कुछ को निश्चित रूप से फ़िल्टर करता हूं, लेकिन हर सुबह जब मुझे सामान के बारे में 10 ईमेल मिलते हैं तो यह मुझे ठीक करना चाहता है इसलिए ऐसा होना बंद हो जाता है।

• अपने कॉन्फ़िगरेशन की निगरानी करें - मैं वास्तव में अपने पूरे / आदि को तोड़फोड़ में रखता हूं ताकि मैं संशोधनों को ट्रैक कर सकूं।

• स्कैन चलाएं। लिनिस और रूटकिट हंटर जैसे उपकरण आपको अपने अनुप्रयोगों में संभावित सुरक्षा छेद के लिए अलर्ट दे सकते हैं। ऐसे कार्यक्रम हैं जो आपके सभी डिब्बे के हैश या हैश ट्री को बनाए रखते हैं और आपको परिवर्तनों के लिए सचेत कर सकते हैं।

• अपने सर्वर की निगरानी करें - जैसे आपने डिस्क्सस्पेस का उल्लेख किया है - यदि कुछ असामान्य है तो ग्राफ आपको संकेत दे सकते हैं। मैं CPU, नेटवर्क ट्रैफ़िक, डिस्क स्पेस, तापमान आदि पर नज़र रखने के लिए Cacti का उपयोग करता हूं । यदि कुछ अजीब लगता है तो यह अजीब है और आपको पता लगाना चाहिए कि यह अजीब क्यों है।

सब कुछ आप कर सकते हैं स्वचालित करें ... OSSEC http://www.ossec.net/ क्लाइंट / सर्वर इंस्टॉल जैसी परियोजनाओं पर एक नज़र डालें ... वास्तव में आसान सेटअप और ट्यूनिंग खराब भी नहीं है। यह बताने का आसान तरीका कि क्या रजिस्ट्री प्रविष्टियों सहित कुछ को बदल दिया गया है। यहां तक ​​कि एक छोटी सी दुकान में भी मैं एक syslog सर्वर स्थापित करने पर विचार करूंगा ताकि आप सभी लोगों को एक ही जगह पर पचा सकें। यदि आप केवल विश्लेषण के लिए एक syslog सर्वर पर अपने विंडोज़ लॉग भेजने के लिए देख रहे हैं तो syslog एजेंट http://syslogserver.com/syslogagent.html देखें ।

लिनक्स पर, मैं उपयोग करता हूं अपनी लॉग फ़ाइलों में नियमित रूप से संदिग्ध प्रविष्टियों की रिपोर्ट करने के लॉगचेक का करता हूं। यह गैर-सुरक्षा से संबंधित अप्रत्याशित घटनाओं का पता लगाने के लिए भी बहुत उपयोगी है।