Monitorizare request-uri externe

Salut,

Am primit o notificare conform careia s-a produs un atac de pe server (probabil de pe un site wordpress).
/furanet/sites/cecappontevedra.org/web/htdocs/logs/access:<IP ADDRESS> - - [14/Mar/2014:16:18:39 +0100] "POST /wp-login.php HTTP/1.0" 200 6317 "-" "-" "-"

Cum pot monitoriza toate requesturile care se fac de pe server, catre exterior?

Merci,

man iptables
man wireshark

ddumyy, on 15 martie 2014 - 08:33, said:

Pui una bucata squid, redirectezi ca mârlanul toate request-urile HTTP locale prin el, folosesti ceva tool de analizat logurile lui nea squid. Preventiv, permite traficul de care ai nevoie pe OUTPUT pe HTTP (gen: update repos), iar la restul da-le drop cu stateful match pe NEW.
Incearca intai scenariul pe vreo clona care nu e remote, sa nu-ti tai craca.

Varianta "entărpraiz" e sa-ti pui un FW+IPS sau UTM in botul serverului, se ocupa ala atat de logging, cat si de suficient de multe atacuri de neam prost.


LE: mai sus am scris ceva impartial corect, bag errata: permite "clean" traficul de care ai nevoie pe OUTPUT pe HTTP, fara sa faci transparent-proxy la el. Restul da-l prin squid. Pe OUTPUT va trebui sa permiti traficul pe HTTP, care-l va face squid-ul in numele măriei sale, luserul. Daca nu vrei sa-l lasi la pornache, ai addon-uri peste squid (dansguardian, squidguard, or mai fi si altele).

Edited by DaCosta, 11 April 2014 - 22:28.

DaCosta, on 11 aprilie 2014 - 22:02, said:

Aha sa-l flood-ezi pe el!

S-a dus conceptul de "flood", sfinția ta, sârmele moderne cara multe smurfuri, mai trendy e "DOSuiala" (am auzit si o comparatie de tipul DDOS=gang-bang raping).
In cele din urma, vorba unor intelepti - doua lucruri raman infinite in zilele moderne: universul si trial-ul de la WinRAR.

Buna ziua.
Ca sa nu deschid topic separat, deoarece tot executia de scripturi dubioase sub apache ma intereseaza in prima faza, intreb si va cer o parere aici: ce IPS recomandati (masina dedicata) pana in 20k euro buget? Daca ma scapa si de ceva spam, SQL Injection/XSS/etc, DOS/DDOS si alte probleme de securitate este si mai bine. Va fi pus dupa fw ca un bridge transparent cu filtrari dupa porturi/servicii.
Ca solutie free vad ca este Snort-ul cel mai laudat, dar ca solutie cu bani? Snort este mai bun ca IDS si mai putin ca IPS (sau poate ma insel?)
Multumesc.
Stima.