OSSECでサーバへの不正侵入を検知する方法

Sucuriは3月17日(米国時間)、「Server Security: Indicators of Compromise Using OSSEC」において、OSSEC (Open Source Intrusion Detection System; オープンソース侵入検知システム)を使うことでサーバに対する不正侵入をモニタリングし検出を行うことができると伝えた。

OSSECは関係解析エンジンや分析エンジンを備えており、ログファイルやファイルシステムのモニタリングなどを通じてリアルタイムでの侵入検知、ルートキットの検出、よりアクティブな侵入への対応などを実施するためのソフトウェア。こうしたソフトウェアを活用することでサーバやサービスに対する不正侵入の検知が容易になる。

不正侵入にはいくつかの兆候があるとされており、記事では次の5つの例が紹介されている。

SSH経由で異なる国から同じユーザーでログインしている。
WordPress経由で異なる国から同じユーザーでログインしている。
異なるブラウザから同じユーザーでログインしている。
不自然な時間帯にログインしている。
異なる国からログインしている。

サーバやCMSは一度稼働を始めると、以降はモニタリングもせずに使い続けることがある。こうしたサーバは攻撃者によって不正侵入を受け、マルウェアの配布に使われたり踏み台サーバとして使われることがあり注意が必要。OSSECはそうした場合のモニタリングおよび警告向けのソフトウェアとして利用できる。