Unix - Verifica automatica del checksum MD5

1

Attualmente sto cercando modi per proteggere un certo numero di siti di e-commerce che servono una grande quantità di traffico ogni giorno.

Finora abbiamo implementato WAF (Web Application Firewall), certificati SSL, rilevamento di malware (utilizzando una gamma di software diversi) e apportato modifiche al software E-Commerce che renderà più difficile la violazione del sito (modifica degli URL di amministrazione, ecc. ).

Mi è stata fornita un'idea da un collega che avrebbe controllato l'MD5Sum di ogni file all'interno del software E-Commerce. La mia domanda è: è qualcosa che è realizzabile / vale la pena fare e, in caso affermativo, come farei per MD5Summing 10k + file su ogni sito?

    
posta Lewis Browne 23.11.2017 - 12:11
fonte

2 risposte

1

Quello che descrivi è comunemente noto come sistema di rilevamento di intrusioni su host. Avere un google e troverete cose come OSSEC e Tripwire. In alternativa, 6 comandi di shell:

 mv currentsums oldsums
 find /var/www/html -iname \*.php -exec md5sum {} \; | \
    awk '{ print $2 "," $1 }' | sort >currentsums
 diff currentsums oldsums

(potresti considerare questo come punto di partenza)

BTW: il tuo elenco di cose che hai fatto per renderlo sicuro contiene alcune cose esoteriche ma nessuna delle basi per rafforzare un server.

    
risposta data 22.02.2018 - 15:03
fonte
0

Benvenuto nello scambio di stack di sicurezza delle informazioni!

Secondo me, un utente malintenzionato ha meno probabilità di posizionare backdoor nei file esistenti. Piuttosto, caricherà nuovi file come backdoor (specialmente nelle fasi iniziali di accesso al filesystem). Pertanto, controllare l'integrità dei file esistenti è meno efficace e richiede una priorità inferiore rispetto al monitoraggio dei file appena creati.

Tuttavia, è possibile monitorare l'integrità dei file esistenti e può essere utilizzato per rilevare le intrusioni. È possibile utilizzare software dal mercato per questo scopo. C'è uno strumento di cui ho sentito parlare, chiamato TripWire , che utilizza database di checksum MD5 per rilevare i cambiamenti del filesystem e segnalare possibili intrusioni. Se i siti web di E-Commerce sono in fase di sviluppo attivo, con pagine costantemente modificate per correggere bug / aggiungere funzionalità, questo potrebbe generare anche molti falsi positivi.

Oppure potresti scrivere un bash (o cmd, a seconda della piattaforma) script (gratuito: P) per fare lo stesso.

    
risposta data 24.11.2017 - 12:26
fonte

Leggi altre domande sui tag