■□ スキャナ/ＩＤＳ 総合スレ □■

165 ：名無しさん＠お腹いっぱい。：2006/03/14(火) 02:24:08

>>127
IntruShield使ってます。

166 ：名無しさん＠お腹いっぱい。：2006/04/22(土) 14:15:21

hosyu

167 ：名無しさん＠お腹いっぱい。：2006/06/03(土) 00:49:38

あｓだｓ

168 ：名無しさん＠お腹いっぱい。：2006/08/24(木) 00:57:56

>>165
俺も、マカフィーのIntruShieldつかってますよ。
黒い筐体がカッコいい

169 ：名無しさん＠お腹いっぱい。：2006/08/24(木) 01:14:53

>>168
おっと、書き込み５ヶ月後にお仲間が現れたか。

しかし、Packet LogのコネクションがSSL使ってるくせに暗号化されてないとか
突然アナウンスしやがったのにはまいった。

そういうクリティカルなバグがあるにもかかわらず Ver.2.1 系ではパッチ提供しないとか、
そもそもそういうアナウンスをメール一本ですませる McAfee はいったいどういうつもりなのかと。
営業呼んでぶっ飛ばそうかと思ったよ。

170 ：名無しさん＠お腹いっぱい。：2006/09/03(日) 19:36:24

ＡＶＧフリーエディションとシマンテックのオンラインスキャンの両方で

「C:\FOUND.000\FILE0000.CHK は　Trojan.Emcodec.G に感染しています。」
とでます

しかしC:\FOUND.000なんてフォルダはありません
これはどういうことなのでしょうか

またＡＶＧではパッチが「Trojan horse Downloader.Zlob.D**」*は任意
という名前がでてきます。

まさか最新型のウィルスでどこもまだ対応してないのにかかってしまったんでしょうか
詳しい方、お助けください

171 ：名無しさん＠お腹いっぱい。：2006/09/04(月) 08:49:02

>>170
スレ違いだ。死ね。

172 ：名無しさん＠お腹いっぱい。：2006/10/05(木) 20:51:14

おまいらP2Pファイル共有対策はどうしていますか?
ちっぽけな会社ほど、残業してファイル収集するヤシ多いのよね。

winnyなら、
eEye Winny Monitor
eEye Winny Scanner
ですけど。

ハードソフト有償無償問わず、お奨め対策有りましたら
聞かせてください。
スペシャリストの自慢話も聞きたいです。

173 ：名無しさん＠お腹いっぱい。：2006/10/05(木) 20:59:59

ウイルスセキュリティがshare検出するらしいｗ
まあeEye使うぐらいのとこなら導入するわけないかｗ

174 ：名無しさん＠お腹いっぱい。：2006/10/13(金) 15:27:13

>>173　各クライアントに入れるよりも、ネットワーク的に斜断したいのですよ。
管理用のPCもしくはFWで制御したいのです。メンテラクなので。
eEyeもそれが理由です。

Shareだと、まあ大元のFW開けないから比較的大丈夫かもしれないけど、
winnyのport0 モードと、Limewireだと......

175 ：名無しさん＠お腹いっぱい。：2006/11/05(日) 21:48:11

snortを家庭内サーバにインストールしたんだけど、なんかチェックする方法ってありますでしょうか？

ログに残せるほどＦ５連打できるわけじゃないし、どうしたらいいのかと呆然としてます。
nmapしてもログに残らないし。

snortインストールしたサーバの起動しているデーモンは、http samba ssh ftp ぐらいです。

176 ：名無しさん＠お腹いっぱい。：2007/01/11(木) 21:17:35

盛大に亀レスをかましてみるテスト。

>>172-174
まずはインターネット〜イントラネットの直接通信を禁止すれば？

プロキシサーバの能力をケチると悲惨なことになるが。

>>175
SQLインジェクションやXSSでは反応しない？

177 ：名無しさん＠お腹いっぱい。：2007/01/11(木) 22:02:45

>>176
NetAgentは嫌いだが、OnePoint Wallでもいれればいいじゃん

178 ：名無しさん＠お腹いっぱい。：2007/10/12(金) 11:44:40

tripwireの設定で質問です。

「/lib」は監視対象としたいです。
ただし、「/lib/a/」というディレクトリは頻繁に更新が行われるので、監視対象外としたいです。

/lib -> $(SEC_BIN) ;
!/lib/a;

としただけでは、「/lib/a」に更新があった場合（ディレクトリ作り直し等？）、
「/lib」ディレクトリにも影響があるらしく、アラートが上がってきます。
上記のようなケースの場合、どのように設定するのが正しいのでしょうか。

179 ：名無しさん＠お腹いっぱい。：2007/11/18(日) 19:27:12

改ざん検知って，Tripwire 以外にはどんなソフトウェアがありますか？

180 ：名無しさん＠お腹いっぱい。：2007/11/18(日) 20:12:22

>>179
Samhain
ossec
Osiris

昔、検証した限りでは、Osirisは日本語のファイル名でも問題なく処理できる。
ただし、メール飛ばそうとすると、ファイル名のコードをそのままメール本文に
埋め込むのでRFC的に違反＋メール受け取っても文字化けする場合が多発する。
WindowsではSJIS、Linuxでは(検証時は)EUCの環境下。

181 ：名無しさん＠お腹いっぱい。：2008/01/11(金) 15:04:10

The Advanced Intrusion Detection Environment (AIDE)
http://www.linux.com/articles/113919
使っている人います？

182 ：名無しさん＠お腹いっぱい。：2008/01/11(金) 17:28:27

Osiris は UNIX / Linux /Windows で動くんだね．
Windows 用のバイナリも用意されているしいいかも．

183 ：名無しさん＠お腹いっぱい。：2008/01/14(月) 10:45:05

>>181
Debianのサーバで使われていたと思う。
俺が知っている範囲ではDebianのサーバは過去に2回ほど侵入をされているはずだが、
それを発見するトリガーとなったのはAIDEだったと思う。

184 ：名無しさん＠お腹いっぱい。：2008/06/22(日) 18:14:49

保守

185 ：名無しさん＠お腹いっぱい。：2008/09/18(木) 17:50:58

Osiris を使ってるんだけど、せっかく収集した
監視対象マシンでのスキャン結果を記録したデータベース、
ここからどのホストにどんなファイルがあるかを
横断的に調べるようなツールを作りたいんだけど、
osiris コマンドって対話的だからこれをラップする
シェルスクリプトを書いてってのは無理だよねぇ？
なんかいい方法ないかな？

osiris のデータベースは独自形式みたいだからよくわからんし。
これが SQLite 形式だったりすると激しく便利なんだが・・・
ってそんなのじゃ簡単に侵入者に改ざんされてしまうか、
データベース自体を

186 ：名無しさん＠お腹いっぱい。：2008/09/18(木) 18:00:20

osiris のソースツリー眺めてたら
printdb ってのが有るじゃないか。
しかもデフォルトではコンパイルされないみたい。

やっほ〜これでマシン横断的（Windows&Linux&BSD混在）の
locate コマンドみたいなのが作れるかも試練。
管理者以外が使えるようにするのは問題っぽいが。
それは locate/updatedb でも同じことだよな。

って、誰もいないか･･･こんなスレッドには。

187 ：名無しさん＠お腹いっぱい。：2008/09/18(木) 18:21:11

今コンパイル中
void print_usage()
{
fprintf( stderr, "osiris db command line utility (v0.2).\n" );
fprintf( stdout, "usage: printdb [-h] [-e] [-m] [-a] <database>\n\n" );
fprintf( stdout, " -h : print database header.\n" );
fprintf( stdout, " -e : print scan errors.\n" );
fprintf( stdout, " -m : print module records.\n" );
fprintf( stdout, " -f : print file records.\n" );
fprintf( stdout, " -a : print everything.\n" );
fprintf( stdout, "\n" );
}

188 ：名無しさん＠お腹いっぱい。：2008/09/18(木) 18:43:28

とりあえず Debian なんで
apt-get source osiris
でソース取得、
dpkg-buildpackage -rfakeroot
でビルドできることを確認して
src/tools の下で make すれば printdb が出来る。
/usr/local/bin にでもコピーしておく。そして
cd /var/lib/osirismd/hosts/localhost/database
printdb -f 1
で激しくすべての情報が・・・・

これでOS横断的にハッシュとかサイズとか日付とかが。
俺歓喜の涙目

189 ：名無しさん＠お腹いっぱい。：2008/09/19(金) 01:06:24

>>188
お、いいじゃないか。
何年か前にOsirisをネタにして、雑誌の記事を書いたことがあったけど、
ちゃんと調べてなかったから気づかなかったわ。

190 ：名無しさん＠お腹いっぱい。：2008/09/19(金) 05:45:12

人がいたことに驚いた。
ところで osiris のスキャンエージェント側は
2265/tcp で待ち受けてるわけだけど、これって
特に認証なくだれ（どの osirismd）からの接続でも
受け付けちゃうものなのかね。

libwrap 使ってて hosts.allow でフィルタできるのか
とも思ったけど未調査。とりあえず netfilter (iptables)
でフィルタかけられるからいいんだけど。

191 ：189：2008/09/20(土) 03:12:53

>>190
このスレで会話が成り立つとは珍しい。
俺が書いた原稿とメモを読み返してみた。

当時は、そこまで調べてなかった（ツールの紹介記事なので）が、
とくにアクセス制御する設定があるわけではないみたいだ。

Linuxだったら、iptablesを使うのが確実だろうね。
Windowsも標準でFW入ってるし。

192 ：190：2008/09/20(土) 07:38:15

osirisd は最初に osirismd から接続された時点で
osirismd からSSL接続用の証明書を受け取る。
以後、別の証明書は受け付けない。なんとシンプルな。
したがってある osirisd はただ一つの osirismd からしか接続できない。
ただし、処女の oririsd は抵抗できずにやられてしまう。

ちなみに、osirismd に蓄積されるデータベースはいわゆる
バークレーDBで、エンディアンの異なるマシン間で移動しても
問題は起きないみたい。（とドキュメントに書いてあった）

メーリングリストを追っかけてると、とにかくシンプルにってのを
信条としてるみたいだなぁ、作者は。

193 ：名無しさん＠お腹いっぱい。：2008/09/20(土) 12:21:38

>>192
なるほど。
構築直後の osirisd がいきなり意図しないマシンに接続される可能性は
低いだろうから、その辺は大丈夫そうだ。

そういえば、Webインターフェースを作成していたと思ったけど、もうそれなりに実装されてる？
以前は、ごくごく限られた機能だけがWebインターフェースで提供されてたなぁ。

194 ：190：2008/09/20(土) 15:05:12

>>193
されてない。従来通り限られた機能のみ。

195 ：189：2008/09/21(日) 16:35:41

さて、他になんかあるかな？ｗ

ossecとかと比べてどう？
使ったことないんだよね。

196 ：名無しさん＠お腹いっぱい。：2008/09/24(水) 13:30:46

Windows 用 printdb.exe
http://lifecracker.net/wiki/Osiris%20MinGW%2BMSYSでビルド

197 ：名無しさん＠お腹いっぱい。：2008/09/24(水) 13:32:27

うぉぉ IRI で貼りつけてしまった…
ちゃんとエンコードしたURLはこちら．
http://lifecracker.net/wiki/Osiris%20MinGW%2BMSYS%E3%81%A7%E3%83%93%E3%83%AB%E3%83%89

しかし誰に必要とされているページか自分でもわからん．

198 ：名無しさん＠お腹いっぱい。：2008/09/24(水) 13:48:17

ちなみに，そのうち osiris コマンドのバッチ処理版を
作る予定．osiris コマンドは対話的だからね．
対話的に与える情報をコマンドラインから与えられるように
するだけなんだけど．

199 ：名無しさん＠お腹いっぱい。：2008/10/05(日) 02:08:14

>>198
開発元に還元しないの？

200 ：名無しさん＠お腹いっぱい。：2008/10/05(日) 12:02:24

>>199
とりあえずやったこと

１）Linux での64ビットオフセット（ラージファイル）対応
　　 (autoconf でスキャナの stat64 系と stat 系を切り替え）
２）コマンドラインでいろいろ指定できるバッチ処理用モードの追加
３）エラーコードを詳しくログに吐く（error / Win32 なら GetLastError）
４）print-db コマンドのサブコマンドを豊富にした
　　正規表現とかでファイル名指定できたり
５）上記パッチを当てた Debian パッケージング
　　データベースを直接除く printdb も含めてパッケージ化
６）上記パッチを当てた NSIS による Windows 用バイナリパッケージ作成

自分の Subversion リポジトリには入ってるので、
あとは patch を生成して投げるだけなんだが、正直めんどい
そのうちやる