DB'sエラーログを見ると、ほぼ成功したSQLインジェクション攻撃のストリームが存在することがわかりました。いくつかの簡単なコーディングではそれを回避できましたが、これを確認するためにDBとWebサーバーの両方(POST要求を含む)のモニターをセットアップするにはどうすればよいですか?これは、スクリプトキディーのためのシェルフツールがない場合、突然あなたのサイトにランダムな関心があることを知らせるシェルフツールがあることを意味します。サイトへの潜在的な脅威をどのように監視する必要がありますか?
Funnily、Scott Hanselmanはpost on UrlScanを今日持っていました。これは、潜在的な脅威を監視し最小限にするのに役立つ1つのことです。それはかなり面白い読書です。
ウェブとDBのアクセスログを監視すると、このようなことが警告されるはずですが、より完全な機能を備えたアラートシステムが必要な場合は、何らかのIDS/IPSを提案します。ただし、予備のマシンとポートミラーリングを実行できるスイッチが必要です。 IDSをお持ちの場合、IDSは多くの侵入試行(たくさんあります)のためにトラフィックを監視する安価な方法です。 Snort(www.snort.org)ベースのIDSは優れており、無料で完全にパッケージされたいくつかのバージョンがあります。私が使ったのはStrataGuard(http://sgfree.stillsecure.com/)で、IDS(Intrusion Detection System)またはIPS(Intrusion Prevention System)として設定できます。トラフィックが5Mbpsを超えない場合は、無料で使用できます。 IDS/IPSを使用する場合は、単純なIDSとして1ヶ月程度実行してから、攻撃を防ぐことを許可することをお勧めします。
これは余計かもしれませんが、余分なマシンを置いておけば、IDSを受動的に実行することはできません。
UrlScanはiis6と7の素晴らしいオプションのようです。私も見つけ:また、ApacheまたはIIS 5-7をカバー賃金ためdotDefender、と私はそれはまた、最近の普及のSQLインジェクションの試みの光の中で注目に値するSQL Injection sanitation ISAPI
を発見したことから、WebアプリケーションのDBユーザー・アカウントをdissallowingシステムテーブル(MS SQL Serverではsysobjectsとsyscolumns)をクエリするのは良い考えです。
このスレッドでは、Apacheや他のWebサーバー向けのより多くの無料ソリューションが必要と考えています。
残念ながら、侵入検知は私が気にしていたものではなかったので、sgfreeは、どのように動作しているのか分からない限り、まさにWebサイト攻撃監視ではありません。
アプリケーションコードを変更して戻すことができれば、アプリケーションにlog4j/log4netを統合することをお勧めします。そこから、フォームフィールドやURLを確認するコード(たとえば、.NETアプリケーションのglobal.asaxレベル)を記述し、悪質なコードが検出されたときにログエントリを作成することができます。
log4j/log4netの素晴らしい点は、電子メール/ポケットベル/ SMSタイプのアペンダーを設定できることです。悪意のある試みが捕捉されると直ちに通知されます。
いくつかのlog4netコードを私たちのCMSシステムにマージしていますが、私は自分のやり方で来ているASPRox攻撃の流入を考慮してこれを行うことを検討しています。
システムを設定して、SMS /電子メールや電話などのあらゆる種類の警告を監視、レポート(ログ)して送信するシステムにJSONまたはhttpを呼び出すエラーメッセージを表示させることができますコール。
developer.alertcasterをご覧ください。com
特に、複数の同時イベントを監視する必要がある場合は、これが継続しているように聞こえますが、これは良い解決策です。