我正在运行最新稳定版本的奥塞克(2.8.1),我最近收到一封电子邮件通知(因为我已经启用它们),内容如下:
OSSEC HIDS 通知。2015 年 4 月 20 日 11:23:04
接收自:Bath-Towel->/var/log/syslog 规则:1003 触发(级别 13)->“非标准系统日志消息(尺寸太大)。”日志部分:
4 月 20 日 11:23:03 Bath-Towel 内核:[5864.618792] 链接的模块:nfnetlink_queue nfnetlink_log nfnetlink bnep rfcomm bluetooth 6lowpan_iphc uvcvideo videobuf2_vmalloc videobuf2_memops videobuf2_core v4l2_common videodev keucr(C) media xt_hl ip6t_rt nf_conntrack_ipv6 nf_defrag_ipv6 ip6t_REJECT xt_LOG xt_limit xt_tcpudp xt_addrtype nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack ipt_REJECT arc4 ip6table_filter ip6_tables brcmsmac nf_conntrack_netbios_ns nf_conntrack_broadcast nf_nat_ftp cordic nf_nat brcmutil nf_conntrack_ftp b43 nf_conntrack iptable_filter mac80211 ip_tables x_tables snd_hda_codec_hdmi snd_hda_codec_realtek snd_hda_codec_generic cfg80211 ssb intel_rapl x86_pkg_temp_thermal intel_powerclamp coretemp kvm_intel kvm crct10dif_pclmul crc32_pclmul ghash_clmulni_intel cryptd snd_hda_intel snd_hda_controller snd_hda_codec bcma joydev snd_hwdep serio_raw thinkpad_acpi nvram snd_pcm snd_seq_midi lpc_ich shpchp snd_seq_midi_event mei_me snd_rawmidi mei i915(OE) drm_kms_helper(OE) drm(OE) i2c_algo_bit snd_seq wmi snd_seq_device snd_timer parport_pc snd ppdev soundcore lp parport binfmt_misc 视频 mac_hid uas ahci usb_storage psmouse r8169 libahci mii
--通知结束
这个警报突然出现,我找不到明显的原因来解释为什么我会突然收到这样的警报(我当时没有做任何对我的系统进行重大更改的事情,事实上,除了阅读网络上的可信页面之外,我什么也没做)。
我研究了 13 级警报的含义,根据这一页, 它的意思是:
13 - Unusual error (high importance) - Most of the times it matches a common attack pattern.
所以现在我相当担心,我也不知道警报(我收到的警报)到底是什么意思,所以我不知道这是一次攻击还是其他什么。所以我认为我的问题现在很明显了,这意味着什么,有什么值得担心的吗,如果有的话,那么建议采取什么行动?
操作系统信息:
Description: Ubuntu 14.10
Release: 14.10
答案1
您必须记住,OSSEC 不够智能,无法仅根据记录消息的文本准确地说明发生了什么。您应该自己分析日志消息以找出其原因。
您收到的通知称 OSSEC 发现“非标准系统日志消息”,因为 中的“大小过大” /var/log/syslog。我无法说出系统日志中的大消息与“常见攻击模式”有什么关系,但我不在乎;OSSEC 会产生大量误报。您应该做的是研究生成通知的消息的含义。
幸运的是,我已经看到过这种消息。“Modules linked in:”后面跟着一串内核模块,这通常是在与内核相关的某些东西出错并生成调用跟踪时发生的。我在系统日志中发现了这个:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494210] ------------[ cut here ]------------
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494257] WARNING: CPU: 0 PID: 0 at /build/buildd/linux-3.19.0/drivers/gpu/drm/i915/intel_display.c:9713 intel_check_page_flip+0xda/0xf0 [i915]()
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494259] Kicking stuck page flip: queued at 2514658, now 2514665
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494260] Modules linked in: ctr ccm rndis_host cdc_ether usbnet mii uas usb_storage nls_utf8 btrfs xor raid6_pq ufs qnx4 hfsplus hfs minix ntfs msdos jfs xfs libcrc32c cpuid pci_stub vboxpci(OE) vboxnetadp(OE) vboxnetflt(OE) vboxdrv(OE) binfmt_misc snd_hda_codec_hdmi i915 arc4 uvcvideo iwlmvm mac80211 videobuf2_vmalloc btusb intel_rapl videobuf2_memops iwlwifi iosf_mbi bluetooth x86_pkg_temp_thermal videobuf2_core intel_powerclamp v4l2_common videodev snd_hda_codec_realtek media snd_hda_codec_generic cfg80211 snd_hda_intel snd_hda_controller kvm_intel snd_hda_codec kvm snd_hwdep snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul ghash_clmulni_intel snd_seq snd_seq_device dell_laptop snd_timer dell_wmi dcdbas snd aesni_intel aes_x86_64 soundcore sparse_keymap i8k lrw gf128mul drm_kms_helper glue_helper ablk_helper cryptd joydev 8250_fintek serio_raw shpchp drm mei_me dell_smo8800 wmi mei i2c_algo_bit lpc_ich video mac_hid coretemp parport_pc ppdev lp parport autofs4 e1000e ptp pps_core ahci psmouse sdhci_pci libahci sdhci
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494340] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G OE 3.19.0-14-generic #14-Ubuntu
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494341] Hardware name: Dell Inc. Latitude E5440/078YP3, BIOS A10 12/18/2014
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494343] ffffffffc0a9fe10 ffff88011ea03d28 ffffffff817c2205 0000000000000007
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494345] ffff88011ea03d78 ffff88011ea03d68 ffffffff8107595a ffff88011ea03d88
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494348] ffff880118f19000 ffff8800d97b8800 0000000000000000 ffff8800d97b89a8
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494351] Call Trace:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494353] <IRQ> [<ffffffff817c2205>] dump_stack+0x45/0x57
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494370] [<ffffffff8107595a>] warn_slowpath_common+0x8a/0xc0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494372] [<ffffffff810759d6>] warn_slowpath_fmt+0x46/0x50
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494390] [<ffffffffc0a4ba3a>] intel_check_page_flip+0xda/0xf0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494411] [<ffffffffc0a18948>] ironlake_irq_handler+0x2e8/0xfd0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494416] [<ffffffff813bd824>] ? timerqueue_del+0x24/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494421] [<ffffffff810956ff>] ? notifier_call_chain+0x4f/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494425] [<ffffffff810cd5f7>] handle_irq_event_percpu+0x77/0x1a0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494428] [<ffffffff810cd761>] handle_irq_event+0x41/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494432] [<ffffffff810d07ce>] handle_edge_irq+0x6e/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494435] [<ffffffff81017772>] handle_irq+0x22/0x40
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494438] [<ffffffff817cc27f>] do_IRQ+0x4f/0xf0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494448] [<ffffffff817ca0ed>] common_interrupt+0x6d/0x6d
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494449] <EOI> [<ffffffff816643d5>] ? cpuidle_enter_state+0x65/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494453] [<ffffffff816643c1>] ? cpuidle_enter_state+0x51/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494456] [<ffffffff816645b7>] cpuidle_enter+0x17/0x20
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494459] [<ffffffff810b6a41>] cpu_startup_entry+0x311/0x3b0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494463] [<ffffffff817b6ad7>] rest_init+0x77/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494466] [<ffffffff81d4cfce>] start_kernel+0x482/0x48f
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494469] [<ffffffff81d4c120>] ? early_idt_handlers+0x120/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494472] [<ffffffff81d4c4d7>] x86_64_start_reservations+0x2a/0x2c
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494474] [<ffffffff81d4c61c>] x86_64_start_kernel+0x143/0x152
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494476] ---[ end trace 0b755d956a43fb36 ]---
正如您在第二行中看到的那样,这一系列消息是由我的 GPU 驱动程序(警告)引起的。我不记得当时有什么不寻常的事情。由于我的系统没有崩溃,我认为一切都正常。
您应该在日志中搜索“cut here”和“end trace”来找出导致该消息的原因。
答案2
正如 Eric 所说,警报级别只是一种分类,并没有提供您需要了解的信息来确定是否需要担心。例如,最初试图通过 ssh 破解帐户的人将显示为 3 级警报,尽管这可能会导致更严重的后果。警报级别后面的文本更有趣。
非标准系统日志消息(尺寸太大)。
实际规则如下:
<rule id="1003" level="13" maxsize="1025"> <description>Non standard syslog message (size too large).</description> </rule>
日志文件中的行超过 1025 个字符。就您而言,这看起来不像是安全问题。如果您收到很多这样的消息,您可以编辑配置文件以将其过滤掉。将长消息发送到日志文件的担忧在于,它可能表明有人试图通过尝试向 Web 服务器请求或发送过长的 URL 来尝试缓冲区溢出攻击。所以这完全取决于上下文。