我们的网站不断受到 IP 地址解析为中国的机器人的攻击,试图利用我们的系统。虽然他们的攻击被证明是不成功的,但他们不断消耗我们的服务器资源。攻击样本如下所示:
2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48784 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.8/scripts/setup.php 400 - Hostname -
2010-07-23 15:56:24 58.223.238.6 48806 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.9/scripts/setup.php 400 - Hostname …几年前,我们通过在外部防火墙前放置一个水龙头,通过 IDS 盒传输 DS1 上的所有流量,然后将结果发送到运行 ACiD 的日志服务器来设置 IDS 解决方案。这是大约 2005 年左右。我被要求改进解决方案并对其进行扩展并环顾四周,我发现 ACiD 的最后一个版本是 2003 年,我似乎找不到其他任何看起来甚至是最新的。虽然这些东西可能是功能完整的,但我担心库冲突等。谁能给我一些使用现代工具的基于 Linux/OpenBSD 的解决方案的建议?
明确地说,我知道 Snort 仍在积极开发中。我想我更喜欢现代开源 Web 控制台来整合数据。当然,如果人们对 Snort 以外的 IDS 有很好的体验,我很高兴听到它。
所以,正如我们所见的服务器故障,多年来我为每个系统构建了几个,
然而,在一天结束时,我有时会觉得我有点“拼凑”,最多只能是一两个软件。
我有点在寻找一种“一体式解决方案,它更易于管理,然后必须处理 7 种不同的软件。只是有效的东西。
有谁知道吗?我见过大量的监控应用程序等等,但它们总是缺少 wiki 和票务部分。这对我来说从来没有多大意义,在我看来,如果警报响起,那应该是工程师要解决的问题。IDS 关闭也是如此,可能还会有趋势警告以备将来通知。
我一直致力于让我的snort机器启动并运行,并通过Snort IDS 和 IPS Toolkit 工作。
作者建议使用Oinkmaster,但在该网站上,最后一次更新是 2008 年 2 月。这似乎有点......奇怪。也许过去一年半 oinkmaster 没有任何问题,但这让我想知道是否还有其他我不知道的解决方案。
如果您使用 snort,您是否会自动更新您的规则,如果是,如何更新?
如果某个 ip 正在扫描服务器的端口,那么它会在后台运行并在邮件中提醒我。
我确信我的 Windows Server 2008 机器在网络级别和 Web 应用程序级别都不断受到攻击。
问题是如何检测这些攻击?有没有可以监控服务器的轻量级软件?
注意:我在 VPS 上运行它,因此监视器程序必须在同一台服务器上运行。
寻找一个类似于tripwire的基于主机的IDS。最好是允许集中管理的一种。现在我使用tripwire,虽然它可以通过中央服务器进行管理和报告,但它是理想的。我正在寻找实际使用过的建议,而不仅仅是谷歌搜索结果。谢谢!
我们需要在我们的 linux 代理服务器上设置一个入侵检测系统 (IDS)。请建议入侵检测系统?除了 Snort 之外还有什么?
并且... snort 有一个很好的网络界面吗?
期待在几个 FreeBSD 防火墙上部署 IDS/IPS,我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的,但在规则处理和其他工作方式方面,是否有任何真正的区别应该让我选择另一个?