¿Cómo se puede saber si la base de datos de contraseñas en el servidor es robada o no?

1

Hay muchas violaciones de contraseñas que suceden ahora en días. ¿Cómo puede el administrador del sistema detectar si la base de datos de contraseñas en el servidor es hackeada? Obviamente, el administrador puede saber una vez que la base de datos de contraseñas se anuncie en Internet. Pero, ¿hay alguna manera de saber sobre el incidente antes de que todo el mundo lo sepa? ¿Es posible saber sobre el hackeo aproximadamente en el mismo momento en que ocurre el hack? ¿Qué tipo de rastros hay que buscar para detectar la posibilidad de diferentes ataques?

    
pregunta Curious 08.05.2015 - 14:24
fuente

1 respuesta

5

Comienza a recopilar datos

No hay una configuración de base de datos "was_compromised" que se modifique cuando se produce una violación. Tendrá que controlar su evidencia ahora y buscar actividades sospechosas. Debería examinar los conceptos relacionados con la detección de intrusiones de manera más amplia, pero le daré algunas ideas específicas de la base de datos para que pueda comenzar. Esencialmente, comience a registrar la información en un sistema central tan pronto como sea posible.

No solo necesita los datos para determinar qué sucedió en caso de que ocurra una violación, sino que también necesita los datos para establecer lo que es normal para que pueda detectar lo que es anormal.

Habilitar registro de consultas de base de datos

En MySQL, habilite el Registro de consultas generales . Si su servidor está dañado, a menudo verá un gran aumento en la actividad de consulta.

Los sistemas de detección de intrusiones pueden estar a la espera de los valores canarios.

Una técnica que tiene una tasa de falsos negativos muy pequeña es insertar datos falsos en la base de datos y configurar Snort para detectar si esos datos salen de la red. Esta técnica puede ser complicada, ya que los datos se pueden codificar o cifrar, pero la configuración de múltiples puntos de toque ayudará. Lo ideal sería escuchar el tráfico entre el servidor web e internet, así como entre la base de datos y el servidor web.

Supervisa tus registros web

Si los ataques de inyección de SQL se utilizan para capturar datos, los ataques se mostrarán en todos los weblogs. A menudo verá grandes picos en el tráfico para un pequeño grupo de IP. Saber la cantidad de datos que su sitio web normalmente transfiere al día es muy útil aquí.

Iniciar captura de paquetes completos

Esta es la última palabra. Si puede registrar todos los paquetes enviados y recibidos desde y hacia el servidor de la base de datos, podrá responder a la pregunta "¿Nos han violado?" De manera mucho más efectiva. Lo ideal es que quieras capturar entre todos tus servidores.

    
respondido por el amccormack 08.05.2015 - 16:10
fuente

Lea otras preguntas en las etiquetas