Отслеживание признаков атак
Часто случается так, что атаки не сразу выводят из строя сервер, а оставляют на нем программы, заражающие сайт и воздействующие на него в течение продолжительного времени. Следует следить за содержимым журналов для выявления таких программ. Как и вирусы, многие атаки с использованием червей или "троянских коней" являются автоматизированными атаками, оставляющими признаки присутствия (предсказуемые наборы событий или записанных файлов) в файлах журналов, по которым можно судить об их наличии в системе. Например, во многих организациях червь Code Red был выявлен посредством нахождения характерного GET-запроса на файл default.ida в файлах журналов. Подпишитесь на рассылки с новостями в области информационной безопасности или регулярно посещаете сайт CERT для получения новых сведений об этих признаках, чтобы обнаруживать их в журналах.
