He estado zambulléndome en OSSEC durante los últimos meses, pero me siento confuso en una de sus alertas. He proporcionado la siguiente alerta. La principal diferencia que veo en la salida anterior y en la actual es que 10108 ya no se está escuchando y la salida anterior no muestra la mayoría de mis servicios que deberían estar escuchando en un momento dado.
Pero siento que no estoy leyendo esto correctamente. Quiero dejar claro cómo identificar qué ha cambiado exactamente para poder tener algo de alcance en la investigación de esto.
Received From: domainname->netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
Rule: 533 fired (level 7) -> "Listened ports status (netstat) changed (new port opened or closed)."
Portion of the log(s):
ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp 0 0 0.0.0.0:922 0.0.0.0:* LISTEN
tcp 0 0 :::106 :::* LISTEN
tcp 0 0 :::110 :::* LISTEN
tcp 0 0 :::143 :::* LISTEN
tcp 0 0 :::21 :::* LISTEN
tcp 0 0 :::25 :::* LISTEN
tcp 0 0 :::465 :::* LISTEN
tcp 0 0 *.*.*.*:443 0.0.0.0:* LISTEN
tcp 0 0 *.*.*.*:80 0.0.0.0:* LISTEN
tcp 0 0 :::7080 :::* LISTEN
tcp 0 0 :::7081 :::* LISTEN
tcp 0 0 :::8443 :::* LISTEN
tcp 0 0 :::8880 :::* LISTEN
tcp 0 0 :::922
Previous output:
ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp 0 0 0.0.0.0:10108 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:922 0.0.0.0:* LISTEN
tcp 0 0 :::106 :::* LISTEN