Описание тега intrusion-detection
Обнаружение вторжения - это способность системы анализировать различные параметры в компьютерной системе, чтобы определить, взломана ли система или нет.
1
ответ
ssh spammed от 127.0.0.1 ("Не получил идентификационную строку" и "Неверная идентификация версии протокола")
Приквел: я видел этот вопрос, но это не совсем та же ситуация. Мне особенно любопытно, что 'heroku' появляется в журналах. Я только что собрал и развернул новую коробку Ubuntu 18.04, которую я использую в качестве персональной рабочей станции с граф…
05 окт '18 в 21:43
3
ответа
Сравнение межсетевого экрана, предотвращения вторжений, обнаружения и антивирусных технологий в архитектуре организационной сети
В эти дни я читаю о системах предотвращения / обнаружения вторжений. При чтении я действительно запутался в некоторых моментах. Во-первых, брандмауэр и антивирусные технологии известны годами, однако теперь IDS становится популярным. Мой вопрос вклю…
27 мар '10 в 21:32
1
ответ
Как определить, что мой сервер используется как сканер портов?
Мой веб-сервер работает под управлением Ubuntu 12.04.2 LTS со всеми установленными обновлениями безопасности. Он используется в качестве веб-прокси-сервера, который обрабатывает входящие запросы по протоколу HTTP/80 HTTPS/443, но также извлекает веб…
25 июн '13 в 10:44
2
ответа
Странная запись в журнале Apache
В моем предыдущем посте я получил что-то странное в журнале Apache. Опять же, я нашел что-то странное, но меня пугает код ответа. Это уже не 501, а 200. Что ты скажешь? Должен ли я включить параноидальный режим? Вот запись: ***.***.***.*** - - [02/F…
02 фев '11 в 00:58
4
ответа
Простой мониторинг целостности файлов на уровне приложений и обнаружение вторжений (IDS)
Мы искали простое решение для мониторинга целостности файлов в CentOS/Linux, которое будет работать на уровне приложений. Мы не ищем IDS на уровне ОС / сети, так как OSSEC и другие делают это довольно хорошо. Мы рассмотрели централизованный (OSSEC) …
17 авг '13 в 13:06
3
ответа
Как настроить сенсорные правила в OSSIM
Недавно мы переместили нашу установку NIDS из StrataGuard в новую версию OSSIM 2.1, чтобы воспользоваться дополнительными функциями (Nagios, ntop, Nessus/OpenVas и т. д.), которые она предоставляет в дополнение только к Snort. До сих пор я очень впе…
03 сен '09 в 20:06
3
ответа
Это нормально для аутентификации AD, чтобы генерировать много трафика ICMP?
Нормально ли для аутентификации AD между рабочей станцией и сервером AD генерировать много ICMP-трафика? У меня есть система предотвращения вторжений в сеть, которая постоянно обнаруживает огромное количество трафика ICMP / ping от AD до рабочей ста…
03 июл '12 в 16:02
3
ответа
Каковы некоторые из наиболее часто используемых действий правил в snort, кроме значений по умолчанию?
Я пишу строгий анализатор правил фырканья, и я хотел бы приспособить правила фырканья из популярных плагинов. В документации указано, что возможно любое действие / тип, потому что они могут быть определены с помощью плагинов. Тем не менее, я хотел б…
22 июл '09 в 00:34
1
ответ
Как работает Cisco IPS?
Как это работает? Есть ли у него предопределенные шаблоны доверенных или злонамеренных действий? Это на самом деле категория методов брандмауэра? Меня больше интересует Cisco, чем других продуктов..
05 янв '11 в 17:55
5
ответов
Почему мой порт 25 так активен?
Используя netstat -na, я замечаю, что у меня много таких соединений, как tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED Это адреса в США, Бразилии и т. Д., Несмотря на то, что…
18 июл '10 в 18:17
1
ответ
OSSIM в производственной среде
Я пытаюсь получить реальные отзывы о OSSIM. Вы используете OSSIM в производстве? Если да, каков ваш общий опыт? Сколько узлов в вашей среде? Наконец, какую полосу пропускания вы отслеживаете? Спасибо! Anapologetos
05 июн '09 в 02:38
2
ответа
Пролом в моей машине
Возможный дубликат: Мой сервер был взломан АВАРИЙНЫЙ Внезапно ssh утверждает, что ключ на моем сервере изменен. Даже freenx больше не принимает мои соединения из-за измененного ключа. Во всяком случае, ничего важного. Но как я могу проверить, был ли…
28 окт '12 в 10:12
2
ответа
IIS - скрипт для повторных взломов на сайте
В настоящее время у меня есть сайт, который защищен ELMAH в качестве механизма отчетности. Каждый раз, когда кто-то нажимает на неверный URL-адрес, он уведомляет меня или регистрируется в системе. Это раздражает, когда кто-то теребит URL-адрес ошибк…
27 дек '10 в 16:55
1
ответ
Случайные пакеты - это нормально?
Около месяца назад на одном из моих серверов я начал получать случайные пакеты с IP-адресов по всему миру. Поэтому я сделал умную вещь и перестал откладывать установку IDS. Этот IDS является шлюзом ClearOS, который поставляется с Snort и SnortSam. Я…
11 янв '11 в 01:10
2
ответа
Удаление нового сообщения об обнаружении отпечатков пальцев из nmap
Я запускаю nmap- сканирование моих хостов ежедневно, чтобы проверить наличие открытых портов. sudo nmap -f -sS -sV --log-errors -append-output -p1-9999 host.com Но вместе с выводом я получаю длинный список отправлений отпечатков пальцев для таких не…
09 фев '12 в 02:38
2
ответа
Прошлой ночью мой сервер делал что-то интенсивное с жестким диском
У меня в спальне работает сервер Ubuntu. Это связано с интернетом. Прошлой ночью, в 5 утра, он занимался интенсивным вводом-выводом с жесткого диска (я слышал это) около 20 минут. У меня нет запланированных заданий cron, а раньше этого не было. Это …
29 янв '11 в 02:42
1
ответ
Обнаружения вторжений
У меня есть проект безопасности, касающийся обнаружения и предотвращения вторжений. Я гуглил об этом, но не нашел ничего существенного. Я должен представить реферат на данный момент, я хотел бы знать, как реализован IDPS и что нужно учитывать при ра…
07 авг '10 в 21:00
4
ответа
Какой ответ следует предпринять для продолжения попытки взлома веб-приложения?
У меня проблемы с непрерывной согласованной попыткой взлома на сайте (закодирован в php). Основная проблема - попытки внедрения sql, выполняемые на сервере Debian. Вторичный эффект этой проблемы заключается в том, что спайдеры или неоднократно рассы…
14 мар '11 в 22:34
1
ответ
AIDE - Как исключить целые папки?
Я недавно установил AIDE на своем сервере после того, как провел неделю с хакерами. Там, кажется, не так много документации для AIDE, особенно на их сайте. Я нашел много информации об исключении определенных типов файлов, но не могу найти пример тог…
22 авг '12 в 10:39
1
ответ
Я только что был взломан? (Оповещение о вторжении, электронная почта известного хакера помечена как получатель электронной почты в Thunderbird)
Я - создатель продукта, и в попытке отследить и остановить свои убытки от пиратства я иногда посещаю доску объявлений, посвященную пиратству и пиратству с целью получения прибыли; мои продукты регулярно пиратятся и продаются там. При посещении я час…
26 янв '11 в 22:02