मुझे अपनी साइट पर संभावित खतरों की निगरानी कैसे करनी चाहिए?

हमारे डीबी के त्रुटि लॉग को देखकर, हमने पाया कि लगभग सफल SQL इंजेक्शन हमलों की निरंतर स्ट्रीम थी। कुछ त्वरित कोडिंग ने इससे परहेज किया, लेकिन मैं इसे जांचने के लिए डीबी और वेब सर्वर (POST अनुरोध सहित) दोनों के लिए मॉनिटर कैसे सेट कर सकता था? इसका मतलब है कि यदि स्क्रिप्ट-किड्स के लिए शेल्फ टूल बंद हैं, तो शेल्फ टूल से बाहर हैं जो आपको आपकी साइट पर अचानक यादृच्छिक रुचि के बारे में सूचित करेंगे?

0
ro fr bn

5 उत्तर

यदि आप वापस जा सकते हैं और अपने ऐप कोड को संशोधित कर सकते हैं, तो मैं एप्लिकेशन में लॉग 4j/log4net एकीकृत करने का सुझाव दूंगा। वहां से आप कोड लिख सकते हैं जो फॉर्म फ़ील्ड या यूआरएल (.NET ऐप्स के लिए global.asax स्तर पर कहें) की जांच करेगा और दुर्भावनापूर्ण कोड का पता लगाए जाने पर लॉग एंट्री बनायेगा।

Log4j/log4net के बारे में अच्छी बात यह है कि आप एक ई-मेल/पेजर/एसएमएस प्रकार एपेंडर को कॉन्फ़िगर कर सकते हैं ताकि जैसे ही दुर्भावनापूर्ण प्रयास पकड़ा गया हो, आपको अधिसूचित किया जाएगा।

मैं हमारे सीएमएस सिस्टम में कुछ लॉग 4नेट कोड विलय करने की प्रक्रिया में हूं और मैं बस एएसपीआरओक्स हमलों के प्रवाह के प्रकाश में ऐसा करने के लिए देख रहा हूं जो हमारे रास्ते आ रहे हैं।

0
जोड़ा

काफी हद तक, स्कॉट हंसेलमैन के पास एक UrlScan पर पोस्ट था जो आज एक चीज है जो आप कर सकते हैं संभावित खतरों की निगरानी और कम करने में मदद करने के लिए। यह एक बहुत ही रोचक पढ़ा है।

0
जोड़ा

UrlScan does seem like a nice option for iis6 and 7; I also found: dotDefender for pay which also covers Apache or IIS 5-7, and I had found an SQL Injection sanitation ISAPI

हाल ही में व्यापक एसक्यूएल इंजेक्शन प्रयास के प्रकाश में ध्यान देने योग्य भी है जो आपके वेबपैप के डीबी उपयोगकर्ता खाते को सिस्टम टेबल से पूछताछ करने से रोकता है (एमएस एसक्यूएल सर्वर में यह sysobjects और syscolumns में) एक अच्छा विचार है।

मुझे लगता है कि यह धागा अपाचे और अन्य वेब सर्वरों के लिए अधिक मुफ्त समाधान की गारंटी देता है।

दुर्भाग्यवश घुसपैठ का पता लगाना मेरे पास नहीं था, इसलिए एसजीएफरी बिल्कुल एक वेब साइट आक्रमण मॉनीटर नहीं है, जब तक कि मुझे समझ में नहीं आता कि यह कैसे काम करता है।

0
जोड़ा

मॉनिटरिंग वेब और डीबी एक्सेस लॉग आपको इस तरह की चीज़ों के बारे में सतर्क कर सकते हैं, लेकिन यदि आप अधिक पूर्ण रूप से फीचर्ड अलर्ट सिस्टम चाहते हैं तो मैं कुछ प्रकार के आईडीएस/आईपीएस का सुझाव दूंगा। हालांकि आपको एक अतिरिक्त मशीन की आवश्यकता होगी, और एक स्विच जो पोर्ट मिररिंग कर सकता है। यदि आपके पास है तो एक आईडीएस कई घुसपैठ प्रयासों के लिए आपके यातायात की निगरानी का एक सस्ता तरीका है (वहां बहुत कुछ होगा)। Snort (www.snort.org) आधारित आईडीएस उत्कृष्ट हैं, और कुछ मुफ्त पूर्ण पैक किए गए संस्करण उपलब्ध हैं। मैंने उपयोग किया है स्ट्रैटगार्ड ( http://sgfree.stillsecure.com/ ), और यह हो सकता है एक आईडीएस (घुसपैठ का पता लगाने प्रणाली) या एक आईपीएस (घुसपैठ रोकथाम प्रणाली) के रूप में कॉन्फ़िगर किया गया। यदि आपका ट्रैफ़िक 5 एमबीपीएस से अधिक न हो तो यह उपयोग करने में स्वतंत्र है। यदि आप आईडीएस/आईपीएस के साथ जाते हैं तो मैं आपको सलाह देता हूं कि आप इसे एक महीने के लिए एक साधारण आईडीएस के रूप में चलाने दें, इससे पहले कि आप इसे हमलों को रोकने के लिए अनुमति दें।

यह अधिक हो सकता है, लेकिन अगर आपके पास चारों ओर एक अतिरिक्त मशीन है जो निष्क्रिय रूप से चल रही आईडीएस को चोट पहुंचाने में कोई दिक्कत नहीं कर सकती है।

0
जोड़ा

आप अपने सिस्टम को कुछ त्रुटि संदेश निकालने के लिए सेट अप कर सकते हैं जो उसके बाद एक सिस्टम पर JSON या http कॉल करता है जो मॉनीटर करेगा, रिपोर्ट करेगा (लॉग) करेगा और किसी भी प्रकार की अलर्ट जैसे एसएमएस/ईमेल या फोन कॉल भेज देगा।

Developer.alertcaster.com देखें

विशेष रूप से यदि आपको एकाधिक एक साथ घटनाओं की निगरानी करने की आवश्यकता है, जो ऐसा लगता है कि आप आगे बढ़ रहे हैं, तो यह एक अच्छा फिक्स हो सकता है।

0
जोड़ा