参加されたみなさん、準備していただいた事務局のみなさん、パケット浸りの二日間でしたがお疲れ様でした。いやーなんか夜→深夜のプレゼン大会も含め、楽しかったですねー。麺つながりで九州の「セキュ蕎麦」みたいな感じがとっても良かったです。いやばりかたはばりかたですけどね。
いくつか説明し忘れていたことを書いておきます。
まず、途中でWebサーバーにアクセスできなくなっちゃったりした件ですが、実はあのサーバーOSSECっていうホスト型IDSが入っていたんですね。でこのIDSのアクティブレスポンス機能が働いて、一時的にアクセス拒否とかになっていたんだと思います。ログにはそんな感じの記録が残ってました。
Sat Sep 12 15:36:37 JST 2009 /var/ossec/active-response/bin/firewall-drop.sh add - 192.168.11.18 1252737397.1434213 5706
Sat Sep 12 15:36:37 JST 2009 /var/ossec/active-response/bin/host-deny.sh add - 192.168.11.18 1252737397.1434213 5706
Sat Sep 12 15:37:31 JST 2009 /var/ossec/active-response/bin/host-deny.sh add - 192.168.11.110 1252737451.1434510 5706
Sat Sep 12 15:37:31 JST 2009 /var/ossec/active-response/bin/firewall-drop.sh add - 192.168.11.110 1252737451.1434510 5706
Sat Sep 12 15:48:01 JST 2009 /var/ossec/active-response/bin/host-deny.sh delete - 192.168.11.18 1252737397.1434213 5706
Sat Sep 12 15:48:01 JST 2009 /var/ossec/active-response/bin/firewall-drop.sh delete - 192.168.11.18 1252737397.1434213 5706
Sat Sep 12 15:48:01 JST 2009 /var/ossec/active-response/bin/host-deny.sh delete - 192.168.11.110 1252737451.1434510 5706
Sat Sep 12 15:48:02 JST 2009 /var/ossec/active-response/bin/firewall-drop.sh delete - 192.168.11.110 1252737451.1434510 5706
上のヤツはactive-responseのログですが、下のヤツがalertですね。
Alert 1252737397.1433918: - syslog,sshd,recon,
2009 Sep 12 15:36:37 localhost->/var/log/secure
Rule: 5706 (level 6) -> 'SSH insecure connection attempt (scan).'
Src IP: 192.168.11.18
User: (none)
Sep 12 15:36:36 localhost sshd[7068]: Did not receive identification string from 192.168.11.18Alert 1252737451.1434213: - syslog,sshd,recon,
2009 Sep 12 15:37:31 localhost->/var/log/secure
Rule: 5706 (level 6) -> 'SSH insecure connection attempt (scan).'
Src IP: 192.168.11.110
User: (none)
Sep 12 15:37:30 localhost sshd[7112]: Did not receive identification string from 192.168.11.110
ログはこれで全部じゃありませんが、似たようなパターンのものが多数残ってました。
ポートスキャンに反応したのかな?
ルール設定を見てみると、上記のログは以下のルールに反応したっぽいですね。
5700 Did not receive identification string from SSH insecure connection attempt (scan). recon,
identification stringが送られてこなかった、ということらしいですね。ふーん。
最近なぜかトレンドマイクロなOSSECのページはこちら。
「いくつか」と書いておきながら一つだけですがw、ちょっと力尽き気味なのでここらへんで。
