¿Cómo detectar actividades sospechosas en una web y un servidor de correo?

2

Hay un servidor OpenBSD (64 bits; 5.5) que tiene nginx (HTTP / HTTPS) y SMTP (OpenSMTP).

Pregunta: ¿Cuáles son las mejores prácticas para detectar actividades sospechosas? ¿Hay algún script que muestre una actividad interesante de los registros o en algún lugar? Ataques, DDOS, ¿alguna actividad anormal?

Ejemplo para detectar direcciones IP que se conectaron demasiadas veces: dos.awk

function max(arr, big) {
    big = 0;
    for (i in cat) {
    if (cat[i] > big) { big=cat[i]; }
    }
    return big
}

NF > 0 {
    cat[$1]++;
}
END {
    maxm = max(cat);
    for (i in cat) {
    scaled = 60 * cat[i] / maxm;
    printf "%-25.25s  [%8d]:", i, cat[i]
    for (i=0; i<scaled; i++) {
        printf "#";
    }
    printf "\n";
    }
}

Cómo usarlo:

tail -n 1000 /var/www/logs/access.log | awk -f dos.awk | sort -nrk3 | less
    
pregunta somelooser28533 22.08.2014 - 21:21
fuente

3 respuestas

2

Hay varias formas de abordar esto, pero la más directa probablemente sería configurar un sistema de detección de intrusos, como Snort. Supervisa todo el tráfico al servidor y puede advertirle sobre actividades sospechosas.
enlace

    
respondido por el tlng5 22.08.2014 - 22:35
fuente
0

Sugeriría usar un servidor de registro, como Splunk. Admitirá sus registros de acceso (o prácticamente cualquier dato) y los indexará para búsquedas y consultas. Tendría la capacidad de buscar, crear gráficos, gráficos de estadísticas, etc. También es bueno para profundizar en sus datos y encontrar tendencias o anomalías. También puede crear alertas para que pueda ser notificado si algo sucede. También hay mucho apoyo en la comunidad, por lo que es fácil personalizar su solución si es necesario. Espero que esto ayude.

    
respondido por el Beetle 27.11.2016 - 16:22
fuente
-2

Para la detección de ataques basada en archivos de registro, asegúrese de probar el OSSEC HIDS: enlace

    
respondido por el Peter O. 27.11.2016 - 11:42
fuente

Lea otras preguntas en las etiquetas