Come determinare se qualcuno sta effettuando la scansione del mio server?

Il tuo sistema è pubblicamente accessibile?

• Sì: qualcuno probabilmente lo sta scansionando.

• No: stai eseguendo la scansione del server?

  • Sì: Bene, hai appena risposto alla tua domanda ora non è vero?
  • No: probabilmente non verrà scansionato.
  • Non lo so: aspetta ... cosa?
• Non lo so: hai problemi più grandi. E sì, probabilmente stai scansionando.

Versione breve: non esiste un comando centrale / univoco per controllarlo di default su linux

.. ma potresti contare su diversi strumenti, a seconda del tipo di scansione che vorresti trovare:

• Fail2ban per analizzare il file di log (server ssh, server Web, ftp, vpn, ecc.) per trovare qualsiasi forza bruta / tentativo di accesso irregolare (e attivare alcune regole del firewall)
• A livello di rete, è possibile utilizzare una soluzione NIPS / NIDS (sistema di prevenzione delle intrusioni di rete / sistema di rilevamento delle intrusioni di rete) come snort . Per la rete, potresti anche usare alcune regole di iptables per rilevare un scansione in corso ( come questo )

Ma, come ogni gioco di gatti e topo, ci sono molte possibilità per l'attaccante di evitare le tue regole iptables (ridurre la velocità, la scansione casuale delle porte, aumentare l'ip sorgente, ecc.). Un buon modo per gestirli sarebbe avere un controllo rigoroso sulle porte aperte (controllo IN e OUT, limitare l'accesso, ecc.)

Se stai utilizzando un web server, potresti anche voler impostare un honeypot nella tua applicazione web e intrappolare le scansioni automatiche. Questo può essere fatto configurando una sezione del tuo sito e disabilitandola in robots.txt. Eventuali scansioni automatiche lo ignoreranno e tenteranno effettivamente di eseguirne la scansione. Ad esempio, qualsiasi indirizzo IP che accede all'area non consentita può essere inserito in blacklist utilizzando fail2ban.