Come si decide se bloccare le attività di scansione dannosa?

Naviga le tue risposte
1

In una giornata tipica su Internet, ci sarebbero numerose botnet che comandano i computer zombie per cercare server con vulnerabilità. Ogni tanto, un nuovo exploit sarebbe scoperto. Quindi, i computer zombie sarebbero riprogrammati per cercare il nuovo difetto. Se un server non viene aggiornato immediatamente quando viene scoperto un exploit per un particolare software che il server sta eseguendo, sarà suscettibile di un attacco.

Monitorare e tenere traccia delle attività dannose e bloccarle attivamente richiede tempo e fatica e potrebbe consumare più risorse rispetto all'emissione di un errore 403 o 404. Come si può decidere se un determinato modello di scansione è motivo di preoccupazione per giustificare l'adozione di misure preventive come bloccarle totalmente?

    
posta Question Overflow 21.01.2014 - 07:09
fonte

2 risposte

3

Idealmente vorrebbe ispezionare manualmente qualsiasi evento anormale. Dato che ci sono solo 24 ore al giorno, questo implica necessariamente una potatura pesante, in cui viene automaticamente filtrata la maggior parte delle scansioni automatiche. Ad esempio, vedo nei miei registri molti tentativi di accesso a phpMyAdmin . Non ho questo strumento sul mio server, quindi posso tranquillamente ignorare tutti i tentativi di sfruttarne i difetti. Con regole simili per alcuni altri attacchi comuni, posso abbassare sufficientemente il livello di rumore nei miei registri in modo da permettermi di controllare manualmente il resto.

Qualsiasi tentativo di attacco è motivo di preoccupazione finché non hai pienamente compreso e analizzato l'attacco e hai concluso che "non può funzionare" (ad esempio, il mio caso con phpMyAdmin), a quel punto puoi ignorarlo. Sul lato positivo, l'esperienza mostra che tra la scoperta di una vulnerabilità e la sua industrializzazione su larga scala da parte delle reti di bot, di solito c'è un ritardo di alcune settimane, quindi le patch arriveranno prima se manterrai il server correttamente.

    
risposta data 27.01.2014 - 04:23
fonte
1

Il numero di scansioni è importante, così come lo sono le porte che vengono scansionate (se si ottiene una scansione continua di un intervallo di porte da qualche parte probabilmente c'è qualcosa di strano in corso). Inoltre puoi sempre verificare le vulnerabilità dei servizi che il tuo computer sta utilizzando / eseguendo controllando i log delle modifiche di sicurezza del software che hai installato e analizzandoli per vedere cosa può andare storto. Quando si tratta di sfruttare il software installato su una macchina di destinazione, una volta che un hacker scopre quali porte sono aperte e quali sono in esecuzione su di essa (utilizzando vari scanner di porte inclusi scanner di porte invisibili che non stabiliscono una connessione effettiva!), Egli / inizia a scavare online con lo scopo di trovare vulnerabilità (ci sono anche vari siti "oscuri" che gestiscono informazioni così preziose e dove gli hacker black hat possono vantarsi di nuovi exploit che hanno trovato). Ecco perché è sempre una buona cosa non avere solo l'ultima versione di un software, ma anche tenerla all'ultimo livello di patch.

    
risposta data 27.01.2014 - 17:46
fonte

Leggi altre domande sui tag

Come fai a sapere se la chiave blowfish è corretta? XSS attacco vettoriale senza barra?