Mi sono immerso nell'OSSEC negli ultimi due mesi, ma non mi sembra chiaro su uno degli avvisi. Ho fornito l'avviso di seguito. La differenza principale che vedo nell'output precedente e nell'output corrente è che 10108 non viene più ascoltato e l'output precedente non mostra la maggior parte dei miei servizi che dovrebbero essere in ascolto in qualsiasi momento.
Ma sento che non sto leggendo questo correttamente. Voglio essere chiaro su come identificare cosa è cambiato esattamente in modo che io possa avere un certo margine di ricerca in questo.
Received From: domainname->netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
Rule: 533 fired (level 7) -> "Listened ports status (netstat) changed (new port opened or closed)."
Portion of the log(s):
ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp 0 0 0.0.0.0:922 0.0.0.0:* LISTEN
tcp 0 0 :::106 :::* LISTEN
tcp 0 0 :::110 :::* LISTEN
tcp 0 0 :::143 :::* LISTEN
tcp 0 0 :::21 :::* LISTEN
tcp 0 0 :::25 :::* LISTEN
tcp 0 0 :::465 :::* LISTEN
tcp 0 0 *.*.*.*:443 0.0.0.0:* LISTEN
tcp 0 0 *.*.*.*:80 0.0.0.0:* LISTEN
tcp 0 0 :::7080 :::* LISTEN
tcp 0 0 :::7081 :::* LISTEN
tcp 0 0 :::8443 :::* LISTEN
tcp 0 0 :::8880 :::* LISTEN
tcp 0 0 :::922
Previous output:
ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp 0 0 0.0.0.0:10108 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:922 0.0.0.0:* LISTEN
tcp 0 0 :::106 :::* LISTEN