この情報は古い可能性があります!

いろいろな進入検知ツールがあるますが、今回はiplogとswatchで
検知したらメールでお知らせってのをやろうかと思います。

iplogはgcc4な人は恐らくmake時にこけるかもしれないので、
このパッチを使うと幸せになれるかもしれません。

iplogインストール

cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/ojnk/iplog-2.2.3.tar.gz
tar zxvf iplog-2.2.3.tar.gz
cd iplog-2.2.3
wget http://ftp.momo-i.org/pub/other/iplog-2.2.3-make.patch.gz
gzip -d iplog-2.2.3-make.patch
patch -p1 < iplog-2.2.3-make.patch
./configure
make
make install

swatchのインストール

cd /usr/local/src
wget http://jaist.dl.sourceforge.net/sourceforge/swatch/swatch-3.2.3.tar.gz
tar zxvf swatch-3.2.3.tar.gz
cd swatch-3.2.3
perl Makefile.PL
make
make install

swatch用の設定ファイル

mkdir -p /etc/swatch
cd /etc/swatch
vi iplog

watchfor /SYN scan/
echo
mail= webmaster@example.com
mail= keitai@example.com
watchfor /port scan/
echo
mail= webmaster@example.com

このようにwatchfor // で正規表現が使えるようです。
またmail=メールアドレスは何行でも追加可能のようです。
詳細設定については以下のコマンドで確認可能です。

perldoc swatch

起動時に勝手に起動されるように設定

/etc/rc.local

/usr/local/sbin/iplog
/usr/bin/swatch --config-file=/etc/swatch/iplog --tail-file=/var/log/iplog &

その他にも色々応用できそうですね。

コメントを追加

Plain text

  • HTMLタグは利用できません。
  • 行と段落は自動的に折り返されます。
  • ウェブページのアドレスとメールアドレスは自動的にリンクに変換されます。
CAPTCHA
半角で
この質問はあなたが人間の訪問者であるかどうかをテストし、自動化されたスパム送信を防ぐためのものです。
ももーい に投稿