まったくもって困った事に世の中には、サーバを攻撃したり、悪戯してみたりとなんと多いことか・・・。そんなこんなで、攻撃のログをこっそり取っておきましょう。また、SnortSnarf のソフトを使用すると、綺麗に見せるレポートを作ってくれます。(^o^)丿

★.libpcapライブラリが必要です。libpcapがインストールされていない場合は、http://www.tcpdump.org/でアーカイブを入手する必要があります。

1.Snortをインストールします。

% cd /opt/local/src % wget http://www.snort.org/dl/snort-1.8.7.tar.gz % gzip -cd snort-1.8.7.tar.gz | tar xf - % cd snort-1.8.7 % env CFLAGS=-O3 ./configure % make % su # make install # mkdir /etc/snort # cp -p snort.conf /etc/snort # cp -p *.rules /etc/snort

2.とりあえずの設定をしてみます。

# vi /etc/snort/snort.conf      var HOME_NET 192.0.0.0/24        ← 監視対象のIPアドレスを指定します     var DNS_SERVERS 192.0.0.10/32 ← DNSサーバのIPアドレスを指定します # mkdir -p /var/log/snort

3.起動してみましょう。

# /usr/local/bin/snort -Dde -c /etc/snort/snort.conf -h 192.0.0.0/32 -l /var/log/snort

4.ログが出てるかな？

# ls -al /var/log/snort   -rw------- 1 root other 2932 4月 26日 11:27 alert   -rw------- 1 root other    0 4月 25日 18:28 portscan.log

5.自動起動自動起動

# vi /etc/init.d/snort # chmod +x /etc/init.d/snort # ln -s /etc/init.d/snort /etc/rc3.d/S50snort

SnortSnarf  の設定方法

1.SnortSnarf をインストールします。

% cd /opt/local/src % wget http://www.silicondefense.com/software/snortsnarf/SnortSnarf-020516.1.tar.gz % gzip -cd SnortSnarf-020516.1.tar.gz | tar xf - % cd SnortSnarf-020516.1 % cd Time-modules % perl Makefile.PL % make % make test % su # make install

2.とりあえず動かしてみます。

# ./snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert

3.クーロン化 (^o^)丿

0,30 * * * * /opt/local/src/SnortSnarf-020516.1/snortsnarf.pl -d /opt/local/apache/htdocs/snortsnarf /var/log/snort/alert 1> /dev/null

4.アクセスしてみるべし (ーー゛)

http://localhost/snortsnarf/