Inizia a raccogliere dati

Non esiste alcuna impostazione del database "was_compromised" che viene modificata quando si verifica una violazione. Dovrai monitorare le prove ora e cercare attività sospette. Dovresti esaminare i concetti relativi a Intrusion Detection in modo più ampio, ma fornirò alcune idee specifiche del database per iniziare. In sostanza, inizia a registrare le informazioni su un sistema centrale il prima possibile.

Non hai solo bisogno dei dati per determinare cosa è successo in caso di violazione, ma hai anche bisogno dei dati per stabilire cosa è normale in modo da poter rilevare ciò che è anormale.

Abilita registrazione query database

In MySQL, abilita il registro delle query generali . Se il tuo server viene violato, vedrai spesso un notevole aumento dell'attività di query.

I sistemi di rilevamento delle intrusioni possono essere di guardare i valori delle canarie.

Una tecnica che ha un tasso di falsi negativi molto piccolo è quella di inserire dati falsi nel database e configurare Snort per rilevare se tali dati escono dalla rete. Questa tecnica può essere complicata, perché i dati possono essere codificati o crittografati, ma l'impostazione di più punti di tocco aiuterà. Preferisci ascoltare il traffico tra il server web e Internet, così come tra il database e il server web.

Controlla i tuoi log web

Se gli attacchi di SQL Injection vengono utilizzati per catturare i dati, gli attacchi verranno visualizzati su tutti i weblog. Vedrai spesso enormi picchi nel traffico per un piccolo gruppo di IP. Sapere quanti dati il tuo sito Web normalmente trasferisce un giorno è molto utile qui.

Avvia acquisizioni complete di pacchetti

Questa è l'ultima parola. Se riesci a registrare tutti i pacchetti inviati e ricevuti dal server del database, sarai in grado di rispondere in modo molto più efficace alla domanda "Siamo stati violati". Idealmente vorrai catturare tra tutti i tuoi server.