您好,我刚刚在 hetzner.de 租用了一台服务器,并决定按照 linode 上的教程来保护我的服务器! 我刚刚完成 OSSEC 的设置然后马上就收到垃圾邮件: OSSEC HIDS Notification. 2016 Apr 04 17:33:10 Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log Rule: 5720 fired (level 10) -> "Multiple SSHD authentication failures." Portion o...
我安装了 OSSEC,但以下文件未通过 rootkit 检查。我不确定它是否是恶意的,也不知道它在做什么。任何帮助都将不胜感激! 该文件是一个 bash 文件:/usr/bin/svnadd 以下是其内容: #!/bin/sh svn status | perl -ne 's/^\?\s+(\S.+)$/\1/g;chomp;system("svn add \"$_\"");' 我们运行的 Ubuntu 版本是完整修补的 10.04.4 LTS。 ...
我已经安装了最新版本的奥塞克(2.8.1),我现在不断收到这些电子邮件通知: OSSEC HIDS Notification. 2015 Apr 08 11:26:17 Received From: Bath-Towel->/var/log/syslog Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode." Portion of the log(s): Apr 8 11:26:15 Bath-Towel kernel: [ 93...
我正在运行最新稳定版本的奥塞克(2.8.1),我最近收到一封电子邮件通知(因为我已经启用它们),内容如下: OSSEC HIDS 通知。2015 年 4 月 20 日 11:23:04 接收自:Bath-Towel->/var/log/syslog 规则:1003 触发(级别 13)->“非标准系统日志消息(尺寸太大)。”日志部分: 4 月 20 日 11:23:03 Bath-Towel 内核:[5864.618792] 链接的模块:nfnetlink_queue nfnetlink_log nfnetlink bn...
阅读后DigitalOcean 关于 OSSEC 的文档,我决定在 Ubuntu 服务器上安装OSSEC16.04:它是开源的,并且享有良好的声誉。 不过,上述文档有点过时了,已有三年历史,所以我想知道它是否仍然有效。 但我主要关心的是是否安装OSSEC从源代码编译安装或利用可用的Debian 软件包来自下载页面。这也是 DigitaOcean 教程底部的一个用户提出的问题:“是否有理由从源代码进行编译,而不是使用 OSSEC 为 Ubuntu 提供的 DEB 包?”。 我一直都喜欢安装软件包,然而去年八月 GitHub 上有人开了一个问题在 deb 包...
我有奥塞克(2.8.3)已安装(我已将其设置为安装local)并进行设置,以便它向我发送各种警报级别的电子邮件警报。唯一的问题是 2 级警报通常不重要,只会向我的收件箱发送垃圾邮件。 所以我想知道是否有任何方法可以阻止它向我发送 2 级警报,以便它向我发送所有其他警报但不发送那些?(我正在寻找可以在 OSSEC HIDS 设置中配置的东西,我不想要一种外部黑客来过滤它发送给我的电子邮件或其他东西,因为这可能会冒着过滤掉其他警报级别的风险。) ...
我最近收到了 OSSEC HIDS 的通知,警告我有关 SSHD 暴力攻击。为了完整起见,我在下面报告了整个消息: OSSEC HIDS Notification. 2020 Mar 03 12:00:17 Received From: commodore->/var/log/auth.log Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system." Src IP: 188.166.xxx.xxx Portion of the l...
我最近安装了操作系统安全评估中心(2.8.1),在安装过程中我注意到它创建了一些额外的用户帐户。但是当我在设置中查看这些用户帐户时,System Settings > User Accounts我注意到 OSSEC 创建的所有帐户都被禁用了,我应该启用它们吗?如果不启用,如果它们被禁用了,它们会做什么,拥有它们的目的是什么? 它创建的新用户帐户的名称如下(它们都是标准用户帐户): ossecr ossecm ossec 操作系统信息: Description: Ubuntu 14.10 Release: 14.10 ...
我已经安装了最新稳定版本的操作系统安全评估中心(2.8.1),并且我还启用了电子邮件通知,今天我通过电子邮件收到了此警报: OSSEC HIDS Notification. 2015 Apr 03 17:40:26 Received From: Bath-Towel->rootcheck Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)." Portion of the log(s): Trojaned version of file '...
我刚刚安装了当前稳定版本的操作系统安全评估中心(2.8.1)适用于 Ubuntu,但在安装结束时我注意到它说: - System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HI...
我正在开展一个日志聚合项目,想在其中添加一些次要的关联/安全情报。 目前,我有来自大约 400 台服务器的日志进入 syslog-ng 框。我研究了一些程序,例如 SEC(简单事件相关器)、OSSEC 等。对于 SEC,我可以轻松地让进程跟踪我正在写入的文件,并让它触发警报。 然而我必须建立许多自定义规则,而且它不会像 OSSEC 那样有漂亮的 GUI。 因此,我考虑使用 OSSEC 作为本地安装,而不是让它处理所有代理,而只是让它跟踪日志文件和行程警报。 我最担心的是,由于我没有使用 OSSEC 的代理部分,所以看起来唯一的代理是 localhos...
有人可以解释一下 ossec 代理在主动响应配置中如何检测或响应事件(例如,对 Web 服务器 404 状态代码的扫描尝试)。 我知道服务器端的以下 xml 块会触发代理端的响应。但所有规则都保存在 /root 目录中,而不是代理的通常安装目录中。除了监控 apache 访问日志外,它没有脚本或正则表达式来告诉我们要检查什么状态代码。 这是使用 udp 端口 1514 在客户端和服务器之间动态共享的东西吗?请帮助我理解它。 !-- Active response to block http scanning --> <activ...
我刚刚安装了 OSSec 作为服务器。当它要求我输入电子邮件时,我输入了我的 GMail 地址,至于 SMTP,我不确定,所以我先将其设置为 localhost。然后它相应地运行了许多命令。最后它显示以下内容: In order to connect agent and server, you need to add each agent to the server. Run the 'manage_agents' to add or remove them: /var/ossec/bin/manage_agents 我做的另一件事就是从...
我在使用为 OSSEC 3.7.0 定义的自定义解码器时遇到了一些问题。我只需要从我的日志中提取和srcip,但 OSSEC 的解码器还会提取和,而我不需要这些。我的解决方案是定义另一个解码器,只提取我想要的字段(dstipprotocoliptablessrcportdstport如果您有更好的解决方案,请分享!)。 这是我做的: 我把这个解码器放在里面/var/ossec/etc/decoder.xml(iptables和iptables-1解码器之间): <decoder name="iptables-noports"> <pa...
OSSEC 在启动时会发送电子邮件,但在停止时不会发送电子邮件。因此,如果有人以某种方式访问服务器,他可以停止 OSSEC 并在我不知情的情况下做任何他想做的事情。还是我遗漏了什么? ...