Funzionalità OSSEC per gestire un virus che si è già diffuso nel sistema più profondo

3

Per quanto ne so, OSSEC è un HID open source. È un "sistema di rilevamento". Ho letto sui giornali, raccoglie i log e segnala qualsiasi anomalia trovata in un sistema (ad es. Debian Server) e ne agisce.

Alcune delle regole di OSSEC, c'è come un modo possibile per prevenire l'anomalia per farlo agire come, prevenire la forza bruta bloccando un IP per 600 secondi se l'autenticazione fallisce 2 volte.

Esistono regole o comandi di risposta attiva che potrebbero impedire a virus o anomalie di diffondere, infettare e distruggere il nostro sistema. C'è mai qualche dimostrazione riguardo a quelle condizioni? dove potrei trovarlo?

quello che ho provato è come bloccare un ip per attacco brute force (FTP, SSH), ma se l'hacker fosse in qualche condizione potrebbe impedire alle regole di ossec di bloccare l'ip, e ha iniziato a diffondere alcuni file / documenti indesiderati noto come virus? C'è qualche filmato o dimostrazione a riguardo?

La mia domanda: in che modo OSSEC può gestire un virus che si sta già diffondendo? OSSEC è proprio come rilevare l'anomalia e fare qualche azione. È possibile?

    
posta gagantous 01.11.2017 - 05:22
fonte

2 risposte

3

Sì, in pratica hai risposto alla tua stessa domanda. La risposta attiva consente di eseguire qualsiasi comando. Dal momento che accetta gli eseguibili, inizia con gli script della shell, chmod e lo script verrà eseguito quando verrà attivato il trigger corrispondente. Quindi puoi migliorarlo ulteriormente con lo scripting python per fare più cose non possibili con bash. Avrai bisogno di un po 'di programmazione, ma poiché la risposta attiva consente a qualsiasi eseguibile di gestire i trigger, le possibilità sono infinite.

Inizia qui:

  1. link
  2. link
risposta data 05.04.2018 - 22:46
fonte
2

Se l'exploit è stato fatto da qualcuno esperto, dovresti avere alcune configurazioni ottimizzate nell'IDS. Anche in questo caso potresti non riuscire a creare ciò che stai cercando. Senza un nuovo inizio, io per primo non mi sentirò completamente sicuro di essermi liberato di tutto ciò che è stato implementato, dato che si tratta di un virus profondo.

Credo che trovare la fonte di sfruttamento o catturare un intruso nell'atto diventi indegno del tempo e dell'attenzione ad un certo punto. Dove quel punto è per te è diverso dal mio come risultato della mia esperienza e dei nostri rispettivi livelli di intrigo / risoluzione del crimine.

Potresti anche iniziare a utilizzare le macchine virtuali con buoni backup in modo da essere ulteriormente suddivisi in compartimenti dal sistema e dalle funzioni radice, pur mantenendo la possibilità di ripristinare da un hit con pochi clic. Impazzisci con IDS e firewall dal sistema operativo principale sin dal tuo nuovo inizio. Questo metodo mi ha certamente dato un po 'di mente e mi ha liberato dalle ricerche frustranti e scarsamente produttive di dati / exploit compromessi e potenziali prove dell'intruso.

Verso il prossimo. Vedi i commenti @forest.

    
risposta data 07.04.2018 - 16:32
fonte

Leggi altre domande sui tag