IDS для веб-сервера
Доброго времени суток.
Посоветуйте инструмент, который позволит мониторить веб-сервер и
сигнализировать признаки вторжения
- запуск процесса под юзером www-data (должен быть whitelist)
- попытка маскироваться под apache (например в perl $0 = '/usr/sbin/apache2 -k start')
- открытие порта на прослушивание
- исходящее соединение от апача (должен быть whitelist)
Все это можно реализовать и на shell, но хочется найти готовое решение.
И желательно не монструозное при этом.
Прошу не предлагать: выкинуть PHP, включить SELinux, и проч. Нужны именно
оповещения о подозрительных действиях.
--
WBR, Andrey Tataranovich
Reply to: