Cum ar trebui să monitorizez potențialele amenințări la adresa site-ului meu?

Dacă ați putea să vă întoarceți și să modificați codul de aplicație, aș sugera că ați primit log4j/log4net în aplicație. De acolo puteți scrie cod care să verifice un câmp de formular sau o adresă URL (de exemplu, la nivel global.asax pentru aplicațiile .NET) și să facă o intrare în jurnal atunci când se detectează un cod rău intenționat.

Lucrul frumos despre log4j/log4net este că puteți configura un e-mail/pager/SMS tip appender atât de îndată ce a fost prins încercarea de malware, veți fi anunțat.

Sunt în curs de fuzionare a unui cod log4net în sistemul nostru de CMS pe care îl avem și căut să fac acest lucru în lumina afluxului de atacuri ASPRox care au fost pe calea noastră.

Din fericire, Scott Hanselman a avut astăzi un post pe UrlScan astăzi, ceea ce este un lucru pe care l-ați putea face pentru a ajuta la monitorizarea și la minimizarea potențialelor amenințări. Este o citire destul de interesantă.

UrlScan does seem like a nice option for iis6 and 7; I also found: dotDefender for pay which also covers Apache or IIS 5-7, and I had found an SQL Injection sanitation ISAPI

Este, de asemenea, important de remarcat, în lumina unei încercări de injecție SQL recentă larg răspândită, că dezamăgirea contului de utilizator dab de la webapp de la interogarea tabelelor de sistem (în MS SQL Server este sysobjects și syscolumns) este o idee bună.

Cred că acest thread garantează mai multe soluții gratuite pentru Apache și alte servere web.

Din păcate, detectarea intruziunilor nu a fost ceea ce am avut în minte, deci sgfree nu este exact un monitor de atac de site-uri web, decât dacă nu înțeleg cum funcționează.

Monitorizarea jurnalelor de acces la web și DB ar trebui să vă avertizeze asupra unor astfel de lucruri, dar dacă doriți un sistem de alertă mai complet prezentat, aș sugera un fel de IDS/IPS. Veți avea nevoie, totuși, de o mașină de rezervă și de un comutator care poate face oglindirea portului. Dacă aveți aceia, atunci un IDS este un mod ieftin de monitorizare a traficului pentru multe încercări de intruziune (vor exista multe). Snorturile (IDS) bazate pe Snort (www.snort.org) sunt excelente și există câteva versiuni gratuite pe deplin disponibile. Unul pe care l-am folosit este StrataGuard ( http://sgfree.stillsecure.com/ ) și poate fi configurat ca IDS (Sistem de detectare a intruziunilor) sau ca sistem de prevenire a intruziunilor (IPS). Este gratuit pentru a utiliza dacă traficul dvs. nu depășește 5Mbps. Dacă mergeți cu un IDS/IPS, vă sfătuiesc să îl lăsați să ruleze ca un IDS simplu timp de o lună, înainte de a vă permite să preveniți atacurile.

Acest lucru poate fi suprasolicitat, dar dacă aveți o mașină de rezervă situată în jurul valorii de ea nu poate face rău pentru a avea un IDS care rulează pasiv.

Puteți seta sistemul dvs. pentru a elimina un mesaj de eroare care face apoi un apel JSON sau http la un sistem care va monitoriza, raporta (log) și trimite orice fel de alertă, cum ar fi SMS/email sau un apel telefonic.

Check out developer.alertcaster.com

Mai ales dacă aveți nevoie să monitorizați mai multe evenimente simultane, ceea ce se pare că ați continuat, aceasta ar putea fi o soluție bună.