OSSEC, ¿qué me dice acerca de los cambios de puerto?

1

He estado zambulléndome en OSSEC durante los últimos meses, pero me siento confuso en una de sus alertas. He proporcionado la siguiente alerta. La principal diferencia que veo en la salida anterior y en la actual es que 10108 ya no se está escuchando y la salida anterior no muestra la mayoría de mis servicios que deberían estar escuchando en un momento dado.

Pero siento que no estoy leyendo esto correctamente. Quiero dejar claro cómo identificar qué ha cambiado exactamente para poder tener algo de alcance en la investigación de esto.

Received From: domainname->netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
Rule: 533 fired (level 7) -> "Listened ports status (netstat) changed (new port opened or closed)."
Portion of the log(s):


ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
    tcp        0      0 0.0.0.0:922                0.0.0.0:*                  LISTEN      
    tcp        0      0 :::106                      :::*                        LISTEN      
    tcp        0      0 :::110                      :::*                        LISTEN      
    tcp        0      0 :::143                      :::*                        LISTEN      
    tcp        0      0 :::21                      :::*                        LISTEN      
    tcp        0      0 :::25                      :::*                        LISTEN      
    tcp        0      0 :::465                      :::*                        LISTEN      
    tcp        0      0 *.*.*.*:443            0.0.0.0:*                  LISTEN      
    tcp        0      0 *.*.*.*:80            0.0.0.0:*                  LISTEN      
    tcp        0      0 :::7080                    :::*                        LISTEN      
    tcp        0      0 :::7081                    :::*                        LISTEN      
    tcp        0      0 :::8443                    :::*                        LISTEN      
    tcp        0      0 :::8880                    :::*                        LISTEN      
    tcp        0      0 :::922  
    Previous output:
    ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
    tcp        0      0 0.0.0.0:10108              0.0.0.0:*                  LISTEN      
    tcp        0      0 0.0.0.0:922                0.0.0.0:*                  LISTEN      
    tcp        0      0 :::106                      :::*                        LISTEN      
    
pregunta codewizard 15.09.2014 - 18:21
fuente

2 respuestas

1

Su interpretación de los resultados es correcta. No te estás perdiendo nada.

De sus comentarios posteriores, la razón por la que hay menos datos se debe a un problema de rotación de registros que limpia los datos antiguos, lo que tiene sentido.

Este evento significa que debes tener en cuenta este contexto y tener una manera de validar en qué alertas se están alertando y cómo están completos esos registros.

    
respondido por el schroeder 06.01.2016 - 00:16
fuente
2

Para lo que vale la pena, y para otros que llegan a esta página en busca de una respuesta, he estado viendo un comportamiento similar. He recibido notificaciones regulares y francamente irritantes de OSSEC de nivel 7 sobre la regla 533.

I think se está activando debido al nivel de ejecución en el que OSSEC se está iniciando y al establecer la lista actual de puertos de escucha, se lleva a cabo antes de que la mayoría de los servicios que escucharán en 127.0.0.1 hayan comenzado .

Para solucionar esto, he movido ossec de K20ossed a K98ossec en /etc/rc0.d. Parece que TI ha detenido las alertas.

    
respondido por el Simon Fishley 04.12.2018 - 16:04
fuente

Lea otras preguntas en las etiquetas