新系统管理员

Question

我有我自己的网络设置运行网站已经超过两年了。偶尔会发生一些奇怪的事情，但这是一个简单的修复方法(不使用快捷方式)，而且大部分时间我只是恢复备份，因为我有相当可靠的备份。

我的问题是，有人通过互联网侵入我的网络有多容易？我只有标准端口开放(80,443,465 995)和(21，22个局域网只开放)。当我看到我的网关防火墙的传入流量，我看到各种各样的连接，但似乎没有什么从来没有击中家。病毒扫描显示什么都没有发生，tripwire从来没有报告过任何事情，snort；好吧，我猜只是snorts。我怎么知道我什么时候妥协了？

Answer 1

你在做正确的事情。您正在检查日志，您已经设置了安全措施并正在检查它们，并且您知道您潜在的攻击面。这些是你需要做的事情。在这方面，您领先于一些大型、专业的托管公司。重要的是，您正在收集和检查的日志存储在日志服务器上，而不是web服务器上。

但你问了两个困难的问题。黑客攻击你的网络有多容易？这取决于您正在运行的服务。易受攻击的、未加补丁的服务以及编写不良和安全性差的网站通常是人们入侵的方式。你需要看看如何强化这些东西。这个答案太大了，不能在这里回答(不缩小范围)。

其次，您询问了如何知道您的服务器已被破坏，并且您正在运行通常会告诉您的工具(如果日志存储在日志服务器上)。尽管如此，仍然有可能有人破坏您的服务器，而您仍然不知道它。保持警惕，注意你的服务器。学习检测新攻击的新方法，并不断改进您的检测和预防方法。

这还远没有一个完整的答案，特别是考虑到你提供的信息是如此之少，但你有一个伟大的开端。只要意识到这是保护之旅的开始。