Skats

Datenschutzerklärung Letzten 7 Tage (Beiträge) Stichworte Fussball Tippspiel Sakniff Impressum
Zurück   Skats > Technik & Digitales > Software
Registrieren Hilfe Benutzerliste Kalender


 
 
19. March 2009, 18:40   #1
Bandwurm
Erde, Wind & Feuer
 
Benutzerbild von Bandwurm
 
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
Ossec - Monitoring von Serverattacken und sonstige Serverhackversuche

Ich setze nun seit Monaten Ossec zum Überwachen von illegalen Aktivitäten hier auf meinen Server ein.

Ossec schickt eine E-Mail an eine angegebene Adresse, wenn ein File verändert worden ist und überwacht/analysiert Logfiles. Man ist also jederzeit fast in Echtzeit informiert, wenn böse Jungens mal wieder auf dem eigenen Server versuchen rumzuspielen.
Dank einer umfangreichen Konfiguration kann man Ossec 100%ig an seine eigenen Bedürfnissen anpassen.

Es bietet also keinen Schutz vor einem Einbruch, teilt aber diesen fast in Echtzeit mit, bzw. informiert ständig an welcher Stelle Einbruchsversuche unternommen werden.


Welcome to the Home of OSSEC
 
3. June 2009, 14:44   #2
Bandwurm
Erde, Wind & Feuer
 
Benutzerbild von Bandwurm
 
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
Hierzu mal ein Beispiel, welche automatische E-Mail man bekommt, wenn mal wieder ein "Oberschlauer" versucht auf meinen Server krumme Dinge zu veranstalten:

Code:
OSSEC HIDS Notification.
2009 Jun 03 01:59:34

Received From: s15327960->/var/log/messages
Rule: 3911 fired (level 10) -> "Multiple connection attempts from same source."
Portion of the log(s):

Jun  3 01:59:34 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:30 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:27 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:24 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:21 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:17 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:14 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:11 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:07 s15327960 pop3d: Connection, ip=[196.217.144.149]
Jun  3 01:59:04 s15327960 pop3d: Connection, ip=[196.217.144.149]
 
6. June 2009, 14:05   #3
Gandalph
 
Benutzerbild von Gandalph
 
Registriert seit: June 2001
Beiträge: 4
hm... ruf doch mal Scotti von der Enterprise an, und versuch mal zu klären ob Du es irgendwie hin bekommst, natürlich in 14facher Warpgeschwindigkeit, automatisch eine DDOS Attacke auf seine IP starten könntest
 
7. June 2009, 09:53   #4
Bandwurm
Erde, Wind & Feuer
 
Benutzerbild von Bandwurm
 
Registriert seit: February 2002
Ort: Ockershausen
Beiträge: 7.669
Was soll denn eine DDOS Attacke auf eine dynamisch vergebene IP (DSL-Provider) bringen?
Der Typ hat doch schon längst eine neue.

Außerdem hat er doch "nur" versucht sich in ein E-Mail Postfach hier auf den Server ein zu loggen, allerdings in einer Art und Weise, wie es nie klappen kann, denn er hat als Benutzername nur einzelne Namen ausprobiert, dass kann nie funktionieren, denn mein Mailserver akzeptiert als Benutzername nur vollständige E-Mail Account, also nur "name at domain.tld".

Ich habe aber, obwohl ich bestimmt nicht meine Log Dateien ständig durchschaue (die sind nämlich pro Tag einige MB groß) davon Kenntnis, dank Ossec und sehe so, in welcher Art und Weise so etwas probiert wird. Ist nämlich erst einmal ein Server gehackt, dann sitzt man stundenlang davor bei der Suche, wie es geschafft wurde, denn nur so stopft man die eventuell vorhandene Lücke und das ist alles andere als lustig.
 
Antwort

  Skats > Technik & Digitales > Software

Stichworte
ossec, ossec hids




Alle Zeitangaben in WEZ +1. Es ist jetzt 00:13 Uhr.


Powered by vBulletin, Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Online seit 23.1.2001 um 14:23 Uhr

Die hier aufgeführten Warenzeichen und Markennamen sind Eigentum des jeweiligen Herstellers.