¿Cómo se decide si se deben bloquear las actividades de exploración maliciosas?

Navega tus respuestas
1

En un día típico en Internet, habría numerosas redes de bots que ordenan a las computadoras zombie que busquen servidores con vulnerabilidades. De vez en cuando, se descubriría un nuevo exploit. Luego, las computadoras zombis serían reprogramadas para buscar la nueva falla. Si un servidor no se actualiza inmediatamente cuando se descubre una vulnerabilidad de un software en particular que el servidor está ejecutando, entonces será susceptible a un ataque.

La supervisión y el seguimiento de las actividades maliciosas y su bloqueo activo lleva tiempo y esfuerzo y puede consumir más recursos que solo emitir un error 403 o 404. ¿Cómo se decide si un determinado patrón de exploración es motivo de preocupación para justificar la adopción de medidas preventivas, como el bloqueo total?

    
pregunta Question Overflow 21.01.2014 - 07:09
fuente

2 respuestas

3

Idealmente, le gustaría inspeccionar manualmente cualquier ocurrencia anormal. Dado que solo hay 24 horas por día, esto necesariamente implica una poda pesada, en la que se filtra automáticamente la mayor parte de las exploraciones automatizadas. Por ejemplo, veo en mis registros muchos intentos de acceder a phpMyAdmin . No tengo esta herramienta en mi servidor, por lo tanto puedo ignorar de manera segura todos los intentos de explotar sus fallas. Con reglas similares para algunos otros ataques comunes, puedo reducir el nivel de ruido en mis registros lo suficiente como para permitirme verificar manualmente el resto.

Cualquier intento de ataque es motivo de preocupación hasta que haya comprendido y analizado completamente el ataque, y haya concluido que "no puede funcionar" (por ejemplo, mi caso con phpMyAdmin), en cuyo momento puede ignorarlo. En el lado positivo, la experiencia muestra que entre el descubrimiento de una vulnerabilidad y su industrialización a gran escala por parte de las redes bot, generalmente hay un retraso de unas pocas semanas, por lo que los parches serán lo primero si mantiene su servidor correctamente.

    
respondido por el Thomas Pornin 27.01.2014 - 04:23
fuente
1

El número de exploraciones es importante, al igual que los puertos que se están explorando (si obtiene una exploración continua de un rango de puertos desde algún lugar, es probable que haya algo sospechoso). Además, siempre puede verificar las vulnerabilidades de los servicios que su computadora está usando / ejecutando al revisar los registros de cambios de seguridad del software que ha instalado y analizarlos para ver qué puede fallar. Cuando se trata de explotar el software instalado en una máquina objetivo una vez que un pirata informático descubre qué puertos se abren allí y qué se está ejecutando en él (utilizando varios escáneres de puertos, incluidos escáneres de puertos ocultos que no establecen una conexión real), / ella comienza a cavar en línea con el propósito de encontrar vulnerabilidades (también hay varios sitios "oscuros" que manejan esa información valiosa y donde los hackers de sombrero negro pueden jactarse de los nuevos ataques que han encontrado). Por eso siempre es bueno no solo tener la última versión de un software, sino también mantenerlo en el último nivel de parches.

    
respondido por el rbaleksandar 27.01.2014 - 17:46
fuente

Lea otras preguntas en las etiquetas

Cómo garantizar la privacidad de los archivos que almaceno PHP cifrar y descifrar con certificado