Su mejor opción es instalar un firewall de aplicación web como mod_security y aplicar reglas para eliminar esto en el extremo. Aplique Duo Security para no permitir comandos sudo no validados de una cuenta comprometida.
fr00yl00p dice:
- Configure el sistema para que le avise al iniciar sesión (por ejemplo, por correo en sshrc y bashrc)
Esto se vuelve demasiado engorroso y complejo si tiene sistemas que realizan mantenimiento, e, g, SNMPv3, cualquier tipo de cuentas rsync, etc. Un mejor mecanismo sería un alias del último comando escrito en el terminal cada vez que inicie sesión. Duo se detendrá mucho, así que échale un vistazo.
fr00yl00p dice:
Deje que su cortafuegos deje caer conexiones con patrones de ataque obvios. (por ejemplo, enlace )
Esto no es un mecanismo viable y tendría que crear una lista blanca en paralelo. Considera el hecho de que puedo simular conexiones pretendiendo ser cualquiera. Imagine que genero suficientes mensajes falsificados para simular, por ejemplo, un CIDR / 16, / 8 o incluso / 2.
fr00yl00p dice:
Instale PHPIDS ( enlace )
A menos que esté dispuesto a convertirse en un analista de respuesta a incidentes, perderá tanto tiempo persiguiendo falsos positivos, eventualmente ignorará las alertas de IDS e IPS, incluso las personas DFIR bien entrenadas pasaron horas y horas constantemente. modificando Por no hablar de alguien que no está acostumbrado a usar un IDS, ni a interpretar su salida.
Al igual que con otras recomendaciones, no necesita bloquear rangos completos para un servidor web si configura un WAF correctamente. En uno de mis sitios, POR FAVOR mantengo Joomla 1.5 en funcionamiento y no me preocupo por los compromisos ya que mi WAF está escrito para permitir solo un POST de mi dirección estática. Su simplicidad en su máxima expresión. Mi sitio web está diseñado SOLO para permitir que los GET no sean POST, por lo que no hay necesidad de seguir las reglas.
También debe ser consciente de que las máquinas infectadas generan mucho tráfico, por lo que no está deteniendo o bloqueando a un atacante, sino que está bloqueando una máquina infectada. Así que no me atrevería a bloquear bloques de IP completos en una página web. Servidor de correo, servidor ssh seguro. De hecho, debe tener un " BLOQUEAR TODO " predeterminado en su servidor web, SOLAMENTE permitiendo su dirección a servicios como SSH. Sin embargo, los diseños / necesidades de cada uno difieren