Como posso detectar ataques / probes / portscans no meu servidor?

2

Estou escrevendo um script para monitorar ataques e probes no meu servidor. Mas eu estou basicamente apenas digitando / var / log / messages para informações interessantes. Onde mais eu olho?

    
por gAMBOOKa 05.02.2011 / 16:56

3 respostas

2

Além de Fail2Ban , veja DenyHosts . Eles funcionam de forma um pouco diferente, então, um pode se encaixar melhor em seu ambiente do que o outro. As duas ferramentas de monitoramento de log mais leves que usei foram LogWatch e logsentry .

O LogWatch é uma ferramenta bastante normal nos dias de hoje. Ele normalmente é executado todas as noites, analisa um monte de registros e enviará um relatório legal da atividade diária. Coisas como logins de usuários, comandos sudo, utilização de disco, bem como mensagens de log geralmente estranhas . Na minha experiência, essa ferramenta quase nunca é ajustada e a configuração padrão fornece resultados suficientemente bons.

Logsentry (anteriormente logcheck) é executado com mais freqüência, normalmente por hora, e é estritamente um analisador de mensagens de log. Ele contém uma lista branca de mensagens normal e assume que qualquer outra coisa é ruim. Essas mensagens ruins são compiladas juntas e enviadas por e-mail. Essa ferramenta pode exigir um pouco de ajuste. Você deve certificar-se de que monitora todos os arquivos de log desejados, bem como certificar-se de que ele saiba o que é normal em seu ambiente.

Ambas são boas ferramentas, e diferentes o suficiente para que rodar ambas não seja necessariamente redundante. No passado eu tinha usado o LogWatch para me dar um bom resumo do estado do sistema a cada dia, com o log-in me avisando quando algo fora do comum acontecia.

    
por 05.02.2011 / 20:16
3
O

Snort é um sistema de detecção de intrusões de rede leve. Ele monitora o tráfego de rede e o analisa em um conjunto de regras definido pelo usuário.

Fail2ban verifica arquivos de log. Suporta SSH, HTTP, VOIP, MTA e regras de definição de usuários.

    
por 05.02.2011 / 17:19
0

Eu uso o Shorewall como o firewall com uma política de queda de log. Eu uso um analisador de log do dshield para relatar os testes de porta ao dshield.org e copie-me com o arquivo de log. A ferramenta de verificação de logs também verifica os logs uma vez por hora e informa todos os dados interessantes.

Acho que as varreduras de portas não são feitas com frequência agora. Pode ser que o uso de ferramentas como o fail2ban torne as varreduras de portas não tão atraentes.

    
por 06.02.2011 / 05:21