我想在一些运行 PHP 和 Apache 的 linux 网络服务器上添加某种类型的跟踪/警报。
在进行搜索时,我遇到了 2006-2009 年的大量信息。想重新审视事物,看看其他人现在在做什么。
这里的主要目的是跟踪任何文件何时更改,如果更改,请以某种方式提醒我。IDS 也是如此,希望某些东西可以驻留在同一台服务器上?由于其中一些是小规模项目,我更喜欢真正有效的开源/免费解决方案。尽管如果有人有经验并且成本合理,我仍然希望听到其他替代方案。
我正在尝试构建自定义入侵检测和防御系统 (IDS/IPS)。我找到了一个名为ROPE的好工具,它可以扫描数据包的有效载荷并丢弃不遵守规则的数据包,由脚本设置。这完全符合我的目的,因为我想要做的是检查某些特定文本的有效负载,然后将其删除或允许它(iptables 中的字符串功能对我没有任何好处,因为我想检查多个字符串在有效载荷中,如用户名、ID 等)。然而,ROPE 真的很旧,尽管我尝试了很多次,但还是没能正确安装它。
你知道任何类似的程序可以帮助我根据有效负载在 iptables 中丢弃数据包吗?
非常感谢任何建议:)
我正在尝试在兼作路由器的 debian 机器上设置 snort 作为 ID。理想情况下,我想以这种方式设置 snort,这样我就不必购买额外的网络适配器,只是让它侦听 debian 机器已经处理的相同流量。话虽如此,从接口镜像流量,然后将镜像流量发送到 snort 的最佳方法是什么?或者你会建议我走不同的路线吗?我在想一座桥可能会起作用,但我不确定这是否是正确的解决方案,任何帮助将不胜感激,谢谢!
我的卧室里有一个 ubuntu 服务器。它已连接到互联网。昨晚,凌晨 5 点,它在硬盘上进行了一些密集的 I/O(我听说过)大约 20 分钟。我没有安排任何 cron 作业,它以前也没有这样做过。它可能被黑客入侵了吗?或者我是偏执狂... ext4 文件系统是否进行了一些日志更新?下次可能发生时,您将如何收集更多信息。也许是 IDS 或...?它位于防火墙后面。