如何检测服务器上的攻击/探测/端口扫描？

Question

我正在编写一个脚本来监视服务器上的攻击和探测。但是，我主要是在/var/log/消息中添加有趣的信息。我还能去哪看？

Answer 1

除了Fail2Ban之外，还可以查看DenyHosts。它们的工作方式有点不同，所以其中一个可能比另一个更适合你的环境。我使用过的两个最轻的权重日志监视工具是LogWatch和日志哨。

LogWatch现在是一个相当标准的工具。它通常在夜间运行，通过一堆日志进行分析，并通过电子邮件发送一份关于日常活动的报告。比如用户登录、sudo命令、磁盘利用率以及通常奇怪的日志消息。在我的经验中，这个工具几乎从来没有被调过，默认配置提供了足够好的结果。

Logsentry (以前的日志检查)运行频率更高，通常每小时运行一次，而且严格来说是日志消息解析器。它包含一个普通消息的白名单，并假定其他任何东西都是坏的。这些坏消息然后被编译在一起并发电子邮件出去。这个工具可能需要相当多的调优。您必须确保它都监视您想要的所有日志文件，并确保它知道您的环境中什么是正常的。

这两种工具都是很好的工具，而且不同之处在于，运行这两种工具并不一定是多余的。在过去，我曾经使用LogWatch给我一个很好的总结系统的状态每天，与日志哨兵让我知道什么时候发生了不寻常的事情。

Answer 2

喷鼻是一个轻量级的网络入侵检测系统。它监视网络流量并根据用户定义的规则集对其进行分析。

Fail2ban扫描日志文件。它支持SSH、HTTP、VOIP、MTA和用户定义规则。

Answer 3

我将Shorewall作为防火墙运行日志删除策略。我使用dshield日志解析器向dshield.org报告端口探测，并使用日志文件复制我。日志检查工具还每小时扫描我的日志一次，并报告任何有趣的数据。

我发现端口扫描现在没那么频繁了。也许像fail2ban这样的工具的使用使得端口扫描不再那么吸引人了。