Re: intrusione
Rinnovo i ringraziamenti a tutti :-)
Ovviamente: "mea culpa" ad aver messo password banali su un server di
test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri
mi servirà da lezione :-P
Giusto in questo periodo (altra cosa paradossale) - su un server di
produzione ho implementato alcuni IDS. Così se qualcuno è rimasto
allibito dalla mia esperienza... sa da dove partire:
- fail2ban: blocca tramite iptables gli IP (con possibilità di
configurare se bloccare l'IP sulla porta o fare un DROP completo all'IP)
- psad: banna con notifiche via mail (quindi alert in tempo reale) dei
tentativi di scanport (nmap) o altro
- snort (potentissimo!) ma sto ancora studiando le regole
- logcheck (monitora cosa accade nel sistema) e invia un report di ciò
che è accaduto (tipo la creazione di un nuovo utente), cambio password,
cambio file di sistema, ecc.
sul server in produzione ho tutti questi IDS e sto iniziando ad
allineare il tutto
denyhost (come suggeriva qualcuno) ci do un occhio, grazie
e aggiungo portsentry (che usavo anni fa): simula porte aperte per
rendere + difficile i tentativi di accesso.
Saluti
Pol
Reply to:
- References:
- intrusione
- From: Pol Hallen <debitvaio@fuckaround.org>