Comienza a recopilar datos
No hay una configuración de base de datos "was_compromised" que se modifique cuando se produce una violación. Tendrá que controlar su evidencia ahora y buscar actividades sospechosas. Debería examinar los conceptos relacionados con la detección de intrusiones de manera más amplia, pero le daré algunas ideas específicas de la base de datos para que pueda comenzar. Esencialmente, comience a registrar la información en un sistema central tan pronto como sea posible.
No solo necesita los datos para determinar qué sucedió en caso de que ocurra una violación, sino que también necesita los datos para establecer lo que es normal para que pueda detectar lo que es anormal.
Habilitar registro de consultas de base de datos
En MySQL, habilite el Registro de consultas generales . Si su servidor está dañado, a menudo verá un gran aumento en la actividad de consulta.
Los sistemas de detección de intrusiones pueden estar a la espera de los valores canarios.
Una técnica que tiene una tasa de falsos negativos muy pequeña es insertar datos falsos en la base de datos y configurar Snort para detectar si esos datos salen de la red. Esta técnica puede ser complicada, ya que los datos se pueden codificar o cifrar, pero la configuración de múltiples puntos de toque ayudará. Lo ideal sería escuchar el tráfico entre el servidor web e internet, así como entre la base de datos y el servidor web.
Supervisa tus registros web
Si los ataques de inyección de SQL se utilizan para capturar datos, los ataques se mostrarán en todos los weblogs. A menudo verá grandes picos en el tráfico para un pequeño grupo de IP. Saber la cantidad de datos que su sitio web normalmente transfiere al día es muy útil aquí.
Iniciar captura de paquetes completos
Esta es la última palabra. Si puede registrar todos los paquetes enviados y recibidos desde y hacia el servidor de la base de datos, podrá responder a la pregunta "¿Nos han violado?" De manera mucho más efectiva. Lo ideal es que quieras capturar entre todos tus servidores.