fiscsecの日記

https://twitter.com/fiscsec

ハニーポットにホスト型IDSを入れる

ハニーポット導入後、順調に攻撃が飛んできているようです。(access_logを見る限り)

せっかくなのでIDSを入れてみます。

フリーのホスト型IDSといえばsnortが昔からありますが、

もうちょっと新しいSuricataというものを選んでみました。

いくつかの記事を参考にしつつ、インストール完了。

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_(PPA)

【初心者向け】オープンソースのIPS「Suricata」をCentOSに構築した話 - Qiita

趣味でIPSを使ってみた話 - Qiita

CentOS 6.5 に Snorby と Suricata をインストール | みむらの手記手帳

 

で、/var/log/suricataにあるfast.logを見てみると

取れてる取れてる。以下抜粋。

-------

ET WEB_SERVER Possible SQL Injection Attempt UNION SELECT 219.103.***.**

ET WEB_SERVER Possible SQL Injection Attempt UNION SELECT 219.103.***.**

ET WEB_SERVER Script tag in URI Possible Cross Site Scripting Attempt 219.103.***.**

ET DROP Dshield Block Listed Source group 1 181.214.**.**

ET SCAN Potential SSH Scan 119.249.**.***GPL WEB_SERVER DELETE attempt 219.103.***.**

ET SCAN Suspicious inbound to MSSQL port 1433 183.131.***.**GPL WEB_SERVER DELETE attempt 219.103.***.**

ET CINS Active Threat Intelligence Poor Reputation IP group 99 107.170.***.***

-------

SQLインジェクションXSSOWASP ZAPを用いての検知テスト。

他は詳細を調べないとよくわからない感じなものも多いです。

シグネチャに関しては最近流行りのCisco Smart Install Exploitation Toolを狙った通信を検知できるようなのも入っているので、旬なものはまぁまぁ検知できるのかなーと。

 

サーバに入って生ログを見るのもだるいし、せっかくなので操作を身に着けたいということでSIEMのデファクトスタンダード感があるSplunkを入れてみることにします。

(500MB/日まで無料で取り込み可)