Ich scheine wieder einmal jemandem massiv auf die Füße gestiegen zu sein, inzwischen versuchen die „bösen“ Jungs schon mein Zugangspasswort mit der Hilfe von Amzon EC2 Instanzen zu knacken. Ob das so wirklich erfolgversprechend ist wage ich einmal ernsthaft zu bezweifeln.
Intrusion Detection
Brechtige Erfahrungen mit Intrusion detection und intrusion prevention Systemen aller Art
Spammailreview am Morgen: WhatsApp Edition
Ab und an komme ja selbst ich auf die Idee mir einmal eine Spammail anzuschauen die nicht direkt durch mein Hirn gefiltert wird, so auch heute. In diesem speziellen Fall wachte ich morgens um kurz nach 6 auf um festzustellen das der Alkohol der letzten Nacht noch nicht ganz verflogen war und sich langsam zu einem sportlichen Kater entwickelte. So weit, so schlimm.
Splunk oder wie stelle ich meine Serverlogs ins Internet
Vor einigen Wochen kam ich auf die großartige Idee meine Ossec Events mal etwas bildlicher dazustellen. Die erste Wahl für eine solche Aufgaben stellt im Moment wohl Splunk da. Die freie Version mit 500MB Logs pro Tag sollte für mich ja erstmal ausreichen. Am Anfang war alles toll, Splunk lies sich schnell und problemlos installieren. Die Ossec Dashboardapp war auch schnell installiert und Splunk hat tolle Graphen gebaut. Doch dann passierte es, die „Enterprise Test Version“ lief aus. Die Warnungen waren mit ein paar klicks weggeklickt und alles lief wie gehabt. Einen halben Tag später kam die Ernüchterung, Splunk fragte mich plötzlich nicht mehr nach einem Benutzer sondern loggte mich direkt als Administrator ein. Meine kompletten Ossec Logs waren für das ganze Internet sichtbar solang man nur wusste das Splunk auf Port 8000 lief.
Samhain
Mahlzeit, pünktlich zum Samhain fest kam ich mal wieder dazu mich um meine Honeypots zu kümmern. Was mir fehlte war eine weitere Sicherung für den Fall das es doch mal jemand über die Grenzen meines Honeypots hinaus schafft. Gut, natürlich hab ich bereits Vorkehrungen getroffen um soetwas zu verhindern doch ein weiteres Sicherheitsnetz kann ja nie Schaden. Zuerst dachte ich an Tripwire, das ja quasi soetwas wie den Goldstandart unter den HIDS-Systemen darstellt, doch die Neugierde trieb mich dann doch dazu mir Samhain noch einmal genauer anzuschauen. Nach der ersten Begutachtung stellte ich fest das Samhain alles bietet was ich von einem Host Intrusion Detection System erwarte.