capacidades OSSEC para manejar un virus que ya se ha propagado en el sistema más profundo

3

Por lo que sé, OSSEC es un HIDS de código abierto. Es un "sistema de detección". Leo en revistas, recopila registros y marca cualquier anomalía que se haya encontrado en un sistema (por ejemplo, Debian Server) y hago algo de acción con él.

Algunas de las reglas de OSSEC, hay como una forma posible de prevenir la anomalía para realizar acciones como, evitar la fuerza bruta mediante el bloqueo de una IP durante 600 segundos si la autenticación falla 2 veces.

¿Hay alguna regla o algún comando de respuesta activa que impida que algunos virus o anomalías se propaguen, infecten y aplasten nuestro sistema? ¿Hay alguna demostración con respecto a esa condición? ¿Dónde puedo encontrarlo?

Lo que he intentado es como bloquear una ip para un ataque de fuerza bruta (FTP, SSH), pero ¿qué pasa si el hacker está en alguna condición podría evitar que las reglas ossec bloqueen la ip, y él comenzó a difundir algunos archivos / documentos no deseados? conocido como virus? ¿Hay alguna imagen o demostración sobre eso?

Mi pregunta, ¿Cómo puede OSSEC manejar un virus que ya se está propagando? OSSEC es como detectar la anomalía y hacer algo de acción. ¿Es posible?

    
pregunta gagantous 01.11.2017 - 05:22
fuente

2 respuestas

3

Sí, básicamente has respondido a tu propia pregunta. La respuesta activa le permite ejecutar cualquier comando. Ya que acepta ejecutables, comience con los scripts de shell, chmod it y el script se ejecutará cuando llegue el disparador correspondiente. Luego puedes mejorarlo aún más con las secuencias de comandos de Python para hacer más cosas que no son posibles con bash. Necesitará algo de programación, pero como la respuesta activa permite que cualquier ejecutable maneje los disparadores, las posibilidades son infinitas.

Comienza aquí:

  1. enlace
  2. enlace
respondido por el Sangram Kesari Ray 05.04.2018 - 22:46
fuente
2

Si la explotación la realizó un experto, tendría que tener algunas configuraciones ajustadas con precisión en el IDS. Incluso entonces es posible que todavía no hagas caso de lo que estás buscando. Sin un nuevo comienzo, por mi parte, no me sentiría del todo seguro de deshacerme de todo lo que se implementó, dado que es un virus profundo.

Creo que encontrar la fuente de la explotación o atrapar a un intruso en el acto se vuelve indigno de tu tiempo y atención en un momento determinado. Donde ese punto es para ti, difiere del mío como resultado de mi experiencia y de nuestros respectivos niveles de intriga / picazón en la resolución del crimen.

También puede comenzar a usar máquinas virtuales con buenas copias de seguridad de esa manera, ya que está más compartimentado del sistema raíz y las funciones, al tiempo que conserva la capacidad de recuperarse de un golpe con unos pocos clics. Vuélvete loco con IDS y firewall desde el sistema operativo principal desde tu nuevo comienzo. Este método ciertamente me convenció y me liberó de búsquedas frustrantes y de bajo rendimiento de datos / explotaciones comprometidas y evidencia potencial del intruso.

A la siguiente. Ver los comentarios de @forest.

    
respondido por el Preston Bennett 07.04.2018 - 16:32
fuente

Lea otras preguntas en las etiquetas