|
|
Chào bạn
Nếu là IDS thì Snort là tốt nhất, mình ko biết về Ossec.
Với Snort bạn có thể xem cảnh báo trên màn hình hoặc qua email hoặc qua SMS luôn
Hoặc đơn giản bạn viết một chương trình c/c++/c#/java để đọc file log và show lên màn hình.
|
|
|
Vâng, các anh chị trả lời rất là ngắn gọn và rỏ ràng
Thank mọi người nhá
|
|
|
Các anh chị làm bên bảo mật website cho em hỏi
Các chứng chỉ bảo mật ssl cho website trên linux mình hoàn toàn có thể tự tạo ra và dùng cho website mình
Vậy tại sao các công ty cứ phải mua chứng chỉ CA cho website của họ?
Thank mọi người
|
|
|
Mình thì ko dùng gammu mà dùng gnokii với thiết bị Dcom 3G để send sms (việc khó nhất đối với mình đó là tìm thiết bị tích hợp)
Việc phản hồi và điều khiển lại server thì bạn suy nghĩ đúng rồi đó
Mình xin hướng dẫn lại như sau
1. Bạn sẻ phải biết lệnh đọc SMS từ thiết bị thay vì gởi sms là --sendsms thì đọc sms là lệnh khác
mình dùng gnokii thì là #gnokii --getsms SM 0 -F /root/inbox.txt -d . đọc sms đầu tiên (vị trí 0) trên sim (SM)và lưu vào file inbox.txt trên máy tính và xoa nó--> bạn pải tìm hiểu lệnh getsms trên gammu như thế nào
2. Trong file inbox.txt nó khá dài dòng, nhưng ở dòng nào đó sẻ là nội dung chính của bạn gởi về
ví dụ: gnokii sau khi lấy sms thì nội dung chính là ở dòng thứ 10
bạn phải lưu nội dung này vào chuổi để xử lý các công việc mà bạn quy ước trước
Để làm được việc đó bạn phải viết Shell script để thực hiện
và lập lịch crontab -e để thực hiện script đó
Trước đây mình làm đề tài về cảnh báo xâm nhập Snort thì mình điều khiển lại Snort bằng shell script như sau:
#!/usr/bin/sh
##---------Lay tin nhan SMS luu vao file---------
/usr/local/bin/gnokii --getsms SM 0 -F /root/Desktop/inbox.txt -d
file='/root/Desktop/inbox.txt'
#Doc noi dung SMS tai dong 10 trong file va luu vao chuoi
chuoi=`sed -n 10p $file`
cat > $file
##-------Viet rules cho Snort qua SMS tu xa-----
substring='alert'
substring2='log'
#Neu SMS co chua tu 'alert' hoac 'log'.(Co the dinh nghia them).
#Thi luu SMS do vao file /rules/local.rule
if [ "${chuoi#*$substring}" != "$chuoi" ] || [ "${chuoi#*$substring2}" != "$chuoi" ]
then
echo $chuoi >> /etc/snort/rules/local.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
##------Xoa rules moi tao qua SMS--------
if [ "$chuoi" = "xoa rule" ]
then
cat > /etc/snort/rules/local.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
##------Tat hoac mo canh bao qua SMS------
if [ "$chuoi" = "gnokii off" ]
then
mv /etc/SnortNotify.conf /etc/SnortNotifybk.conf
fi
if [ "$chuoi" = "gnokii on" ]
then
mv /etc/SnortNotifybk.conf /etc/SnortNotify.conf
fi
##------Tat hoac mo canh bao Ping-of-death-----
if [ "$chuoi" = "ping off" ]
then
cp /etc/snort/rules/ping-of-death.rules /etc/snort/rules/ping-of-deathbk.rules
cat > /etc/snort/rules/ping-of-death.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
if [ "$chuoi" = "ping on" ]
then
cp /etc/snort/rules/ping-of-deathbk.rules /etc/snort/rules/ping-of-death.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
##-----Tat hoac mo canh bao SQL injection---
if [ "$chuoi" = "sql off" ]
then
cp /etc/snort/rules/sqlin.rules /etc/snort/rules/sqlinbk.rules
cat > /etc/snort/rules/sqlin.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
if [ "$chuoi" = "sql on" ]
then
cp /etc/snort/rules/sqlinbk.rules /etc/snort/rules/sqlin.rules
/etc/init.d/snortd stop
/usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth1
fi
exit 0
|
|
|
Dùng Snort đi bạn. bạn có thể cài Web Base để theo dõi tấn công qua trang web
Nếu muốn cảnh hệ thống cảnh báo qua Email. nhắn tin SMS tới điện thoại thì bạn phải liên hệ với mình
Mình sẵn lòng giúp đỡ.
|
|
|
Mình chịu thôi bạn à.
Cái này mới thì pải
|
|
|
Bảo mật rộng lắm
Nên chọn một hướng đi cụ thể
Nếu xảy ra sự cố thì hãy tìm tên đã phá hoại, bắn hắn phải bồi thường...
Nhân tiện cho em hỏi, làm thế nào để tìm được kẻ đã tấn công hệ thống mình?
|
|
|
Cái này mới nhỉ.
Ý tưởng này từ bạn ngỉ ra à
Theo mình biết có nhiều phần mềm tạo mail sever như sendmail, postfix... nhưng chúng đều cài lên HDH
Chứ chưa nge đến việc chạy trên Dcom
Bạn tim hiểu thêm xem sao
|
|
|
Thank bạn
Ngay sau đó, mình đả nhắn tin cho khoa biết, và khoa đã khắc phục lỗi đó
Tuy nhiên khoa ko tiết lộ bị tấn công như thế nào
Các pro có thể chỉ cho mình biết cách tấn công như thế ko?
|
|
|
Bạn nên cái hệ thống IDS (=Snort) để phát hiện xâm nhập
Nếu bắt được kể sniffer kia thì xử lý nó ngay tại chổ.
|
|
|
Sáng nay truy cập vào web của khoa mình. đợi một lát khoảng 20-30s nó tự chuyển sang trang web linh tinh khác.
Mọi người có thể giải thích hiện tượng này ko?
|
|