OSSEC - firewall-drop no funciona para la regla 5701

Navega tus respuestas
0

Estoy configurando una OSSEC en modo local (en CentOS 7) para que actúe como un IPS para un comportamiento específico. Estoy intentando usar firewall-drop pero no funciona (noté que la secuencia de comandos no puede ver srcip ). Déjame mostrarte algunos resultados:

comando: 

<command>
    <name>firewall-drop</name>
    <executable>firewall-drop.sh</executable>
    <expect>srcip</expect>
    <timeout_allowed>yes</timeout_allowed>
  </command>

active-response: 

<active-response>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>5701</rules_id>
    <timeout>86400</timeout>
  </active-response>

salida ossec-logtest: 

**Phase 1: Completed pre-decoding.
       full event: 'Jul 11 16:15:50 cloud sshd[31119]: Bad protocol version identification 'POST http://muabannha.org/ HTTP/1.1' from 45.32.161.230 port 53595'
       hostname: 'cloud'
       program_name: 'sshd'
       log: 'Bad protocol version identification 'POST http://muabannha.org/ HTTP/1.1' from 45.32.161.230 port 53595'

**Phase 2: Completed decoding.
       decoder: 'sshd'

**Phase 3: Completed filtering (rules).
       Rule id: '5701'
       Level: '8'
       Description: 'Possible attack on the ssh server (or version gathering).'
**Alert to be generated.

alguna pista?

Gracias de antemano, : wq!

    
pregunta alacerda 11.07.2017 - 18:23
fuente

1 respuesta

0

Fue un error,

Lo encontré y lo arreglé y luego envié una solicitud de extracción al equipo OSSEC: enlace

Tuve que cambiar el decodificador ssh-scan. De hecho, era necesario dividir ssh-scan2 en dos expresiones regulares diferentes. El cambio se puede encontrar aquí .

Gracias,

    
respondido por el alacerda 13.07.2017 - 18:54
fuente

Lea otras preguntas en las etiquetas

¿Este evento es un problema de seguridad: Windows 10: Evento 360, registro de dispositivo de usuario? Google muestra índices de URL de tipo pirateado no existentes de mi sitio y almacenadas en caché en otras páginas [cerrado]