Nov 012014
 

Ab und an komme ja selbst ich auf die Idee mir einmal eine Spammail anzuschauen die nicht direkt durch mein Hirn gefiltert wird, so auch heute. In diesem speziellen Fall wachte ich morgens um kurz nach 6 auf um festzustellen das der Alkohol der letzten Nacht noch nicht ganz verflogen war und sich langsam zu einem sportlichen Kater entwickelte. So weit, so schlimm. Continue reading »

Mrz 052012
 

Vor einigen Wochen kam ich auf die großartige Idee meine Ossec Events mal etwas bildlicher dazustellen. Die erste Wahl für eine solche Aufgaben stellt im Moment wohl Splunk da. Die freie Version mit 500MB Logs pro Tag sollte für mich ja erstmal ausreichen. Am Anfang war alles toll, Splunk lies sich schnell und problemlos installieren. Die Ossec Dashboardapp war auch schnell installiert und Splunk hat tolle Graphen gebaut. Doch dann passierte es, die „Enterprise Test Version“ lief aus. Die Warnungen waren mit ein paar klicks weggeklickt und alles lief wie gehabt. Einen halben Tag später kam die Ernüchterung, Splunk fragte mich plötzlich nicht mehr nach einem Benutzer sondern loggte mich direkt als Administrator ein. Meine kompletten Ossec Logs waren für das ganze Internet sichtbar solang man nur wusste das Splunk auf Port 8000 lief.

Continue reading »

Nov 132011
 

Mahlzeit, pünktlich zum Samhain fest kam ich mal wieder dazu mich um meine Honeypots zu kümmern. Was mir fehlte war eine weitere Sicherung für den Fall das es doch mal jemand über die Grenzen meines Honeypots hinaus schafft. Gut, natürlich hab ich bereits Vorkehrungen getroffen um soetwas zu verhindern doch ein weiteres Sicherheitsnetz kann ja nie Schaden. Zuerst dachte ich an Tripwire, das ja quasi soetwas wie den Goldstandart unter den HIDS-Systemen darstellt, doch die Neugierde trieb mich dann doch dazu mir Samhain noch einmal genauer anzuschauen.  Nach der ersten Begutachtung stellte ich fest das Samhain alles bietet was ich von einem Host Intrusion Detection System erwarte.

Continue reading »