Cụm từ bạn đang tìm kiếm là Intrusion Detection System (IDS). Có một thuật ngữ có liên quan được gọi là Intrusion Prevention System (IPS).
Lưu lượng truy cập màn hình của IDS đến máy chủ của bạn ở cấp IP và sẽ gửi cảnh báo dựa trên phân tích lưu lượng truy cập phức tạp.
IPS là thế hệ tiếp theo của IDS thực sự cố gắng chặn một số hoạt động nhất định.
Có nhiều hệ thống mã nguồn mở và thương mại sẵn có bao gồm Snort, SourceFire, Endace và others.
Tóm lại, bạn nên xem xét thêm một trong các hệ thống này vào danh sách kết hợp của bạn để theo dõi thời gian thực và có khả năng chặn các hoạt động nguy hiểm.
Tôi muốn thêm một chút thông tin ở đây vì khu vực nhận xét chỉ hơi nhỏ.
Điều chính bạn cần hiểu là các loại tấn công bạn sẽ thấy. Chúng sẽ nằm trong phạm vi từ các tập lệnh tự động tương đối không phức tạp đến các cuộc tấn công được nhắm mục tiêu rất tinh vi. Họ cũng sẽ tấn công mọi thứ mà họ có thể thấy từ trang web đến IIS, .Net, Mail server, SQL (nếu có thể truy cập được), ngay bên dưới tường lửa của bạn và các máy/dịch vụ tiếp xúc khác. Một cách tiếp cận wholistic là cách duy nhất để thực sự theo dõi những gì đang xảy ra.
Nói chung, một trang web/công ty mới sẽ bị tấn công bằng các tập lệnh tự động trong vòng vài phút (tôi muốn nói là tối đa 30 giây) sẽ phát trực tiếp. Đó là lý do số một trong những cài đặt mới của MS Windows giữ cho mạng bị khóa nghiêm trọng trong khi cài đặt. Heck, tôi đã thấy máy đóng đinh trong vòng 30 giây sau khi được bật lần đầu tiên.
Cách tiếp cận tin tặc/sâu lấy là quét liên tục phạm vi rộng của địa chỉ IP, điều này được theo dõi với dấu vân tay máy cho những người phản hồi. Dựa trên hồ sơ, họ sẽ gửi một số loại tấn công theo cách của bạn. Trong một số trường hợp, bước lược tả bị bỏ qua và chúng tấn công một số cổng bất kể phản hồi. Cổng 1443 (SQL) là một điểm chung.
Mặc dù hình thức phổ biến nhất của cuộc tấn công, những người tự động là đến nay dễ nhất để đối phó với. Tắt các cổng không sử dụng, tắt ICMP (phản hồi ping) và có tường lửa thích hợp sẽ giữ hầu hết các máy quét đi.
Đối với các cuộc tấn công theo kịch bản, hãy đảm bảo bạn không hiển thị các gói thường được cài đặt như PhpMyAdmin, công cụ quản trị web của IIS hoặc thậm chí Remote Desktop bên ngoài tường lửa của bạn. Ngoài ra, hãy loại bỏ bất kỳ tài khoản nào có tên "quản trị", "quản trị viên", "khách", "sa", "dbo", v.v. Cuối cùng, hãy đảm bảo mật khẩu của bạn KHÔNG được phép là tên ai đó và chắc chắn KHÔNG phải là tên mặc định được vận chuyển với một sản phẩm.
Dọc theo các dòng này, đảm bảo máy chủ cơ sở dữ liệu của bạn KHÔNG thể truy cập trực tiếp bên ngoài tường lửa. Nếu vì lý do nào đó, bạn phải có quyền truy cập trực tiếp thì ít nhất là thay đổi cổng # nó phản hồi và thực thi mã hóa.
Sau khi tất cả điều này được thực hiện đúng và bảo đảm các dịch vụ duy nhất được tiếp xúc phải là các dịch vụ web (cổng 80/443). Các mục vẫn có thể bị khai thác là các lỗi trong IIS, .Net hoặc ứng dụng web của bạn.
Đối với IIS và .net, bạn PHẢI cài đặt các bản cập nhật cửa sổ từ MS khá nhiều ngay khi chúng được phát hành. MS đã rất tốt về việc đẩy các bản cập nhật chất lượng cho các cửa sổ, IIS và .Net. Hơn nữa phần lớn các bản cập nhật là dành cho các lỗ hổng đã được khai thác trong tự nhiên. Máy chủ của chúng tôi đã được đặt để tự động cài đặt bản cập nhật ngay sau khi chúng khả dụng và chúng tôi có không bao giờ được ghi vào ngày này (quay trở lại ít nhất khi máy chủ 2003 được phát hành).
Ngoài ra, bạn cần cập nhật các bản cập nhật cho tường lửa của mình. Cách đây không lâu, một trong những bức tường lửa của Cisco có một lỗi mà nó có thể bị choáng ngợp. Thật không may nó cho phép tất cả lưu lượng truy cập đi qua khi điều này xảy ra. Mặc dù cố định khá nhanh, nhưng mọi người vẫn bị đóng búa sau một năm vì quản trị viên không thể theo kịp các bản vá của IOS. Vấn đề tương tự với bản cập nhật cửa sổ. Rất nhiều người đã bị tấn công đơn giản vì họ không thể áp dụng các bản cập nhật có thể ngăn chặn được nó.
Các cuộc tấn công được nhắm mục tiêu nhiều hơn sẽ khó xử lý hơn một chút. Số lượng tin tặc công bằng đang diễn ra sau khi các ứng dụng web tùy chỉnh. Những thứ như đăng bài để liên hệ với chúng tôi và biểu mẫu đăng nhập. Các bài đăng có thể bao gồm JavaScript, khi được quản trị viên xem, có thể khiến thông tin đăng nhập được chuyển ra hoặc có thể dẫn đến việc cài đặt các trình ghi nhật ký chính hoặc Trojans trên máy tính người nhận.
Vấn đề ở đây là bạn có thể bị xâm phạm mà không hề biết. Các biện pháp bảo vệ bao gồm đảm bảo không thể gửi HTML và JavaScript thông qua trang web của bạn; có kiểm tra spam và virus (và liên tục cập nhật) tại máy chủ thư, v.v. Về cơ bản, bạn cần xem xét mọi cách có thể để thực thể bên ngoài có thể gửi một cái gì đó cho bạn và làm điều gì đó về nó. Rất nhiều Fortune 500 công ty tiếp tục bị ảnh hưởng bởi những thứ như thế này ... Google bao gồm.
Hy vọng điều trên sẽ giúp người khác. Nếu như vậy và nó dẫn đến một môi trường an toàn hơn thì tôi sẽ là một chàng trai hạnh phúc. Thật không may hầu hết các công ty không giám sát lưu lượng truy cập để họ không có ý tưởng chỉ cần bao nhiêu thời gian được chi tiêu bởi các máy của họ chống lại rác thải này.
Một vài điều ở đây: 1. Cách duy nhất là "cái bẫy" các trang sẽ có sẵn là nếu họ là một trong hai kiến thức công cộng hoặc truy cập bằng cách tìm kiếm google. Tốt hơn hết là không cho phép các trang quản trị của bạn có thể tìm kiếm được. 2. Việc giám sát văn bản bị thiếu không phải là cách hay để xác định xem một trang có thay đổi hay không. Thường xuyên hơn văn bản mới không được thêm vào như trái ngược với một người nào đó loại bỏ các công cụ cũ. 3. Không có lý do gì trong thế giới ngày nay có thư mục tải lên ngay từ đầu. Lưu trữ nó trong cơ sở dữ liệu nơi bạn đã sao lưu đơn giản. – NotMe
@Chris Cảm ơn bạn đã ghi chú, có bạn có quyền về điều đó. Tôi chỉ thực hiện một số ý tưởng ở đây phù hợp với một số trường hợp, không phải trên tất cả các trường hợp, có lẽ không phải là những trường hợp tốt nhất, tôi sẽ thích tìm hiểu thêm từ các câu trả lời khác. – Aristos