LAMP服务器的完整性监视

Question

因此，我正在设置一个小型电子商务应用程序，并在考虑如果服务器被破坏会发生什么。我们正在销售软件，这样一个潜在的入侵者就可以为自己生成一些免费的序列号(并不是什么大问题)，也可以抓取客户数据库(更多的是担心)，或者做一些鬼鬼祟祟的事情，比如将合法的付款重新定向到另一个paypal帐户(在担心方面介于两者之间)。

我一直在想，我想知道PHP是否改变了。这会引起大多数的入侵尝试吗？(当我在做的时候)，我将如何在服务器堆栈的更远的地方进行更改？是否有审核内容变更的标准方法？

最安全的选项大概是在另一个服务器上定期登录并将内容与自己的记录进行比较的预定任务。有没有现成的免费工具可以做到这一点？

Answer 1

我假设您将客户数据保存在某个SQL数据库中。攻击者通常使用SQL注入之类的技术从数据库中提取数据。由于这种技术不需要修改服务器上的任何文件，所以您将无法发现这种攻击。据我所知，攻击者抢占客户数据库是您最担心的情况。此外，在这种情况下，当出现数据泄露时，可能为时已晚，因此您首先应该验证应用程序的安全性。您还可以使用WAF (即ModSecurity)作为检测或/和保护措施。

监控系统的完整性也是个好主意，但还不够。

Answer 2

我认为这是错误的做法。问题是您的应用程序不应该是可写的。通知您的网站已被修改，这不如阻止它在第一。让Apache直接读取和执行web中的所有文件，但由其他用户拥有。这样做的方法之一是chmod 550并将Apache放到组中。

像ModSecurity这样的WAF是一种很好的预防性安全措施，定期测试站点的缺陷也是如此。还有一些开源选项，比如马皮提和Skipfish，它们必须手动运行。还有一些免费的扫描服务，比如我帮助开发的舱口。

Answer 3

对于基于主机的入侵检测系统，有绊线 (开放源码)、绊线 (商业)、盖子和更多的工具来构建当前文件的指纹数据库。

虽然大多数软件包管理器(包括RPM)都能很好地维护文件的完整性，但是在远程数据库上运行验证是很棘手的。

此外，还有恶意软件检测器(使用指纹和异常检测)，包括克罗泰特和rkhunter

由于攻击者可能在不修改文件的情况下危害您的系统，因此包含蜜罐数据是检测系统何时受到破坏的一个很好的方法(例如，使用电子邮件地址建立自己的“客户”帐户并监视邮箱)。