OSSEC, cosa mi dice dei cambi di porta?

1

Mi sono immerso nell'OSSEC negli ultimi due mesi, ma non mi sembra chiaro su uno degli avvisi. Ho fornito l'avviso di seguito. La differenza principale che vedo nell'output precedente e nell'output corrente è che 10108 non viene più ascoltato e l'output precedente non mostra la maggior parte dei miei servizi che dovrebbero essere in ascolto in qualsiasi momento.

Ma sento che non sto leggendo questo correttamente. Voglio essere chiaro su come identificare cosa è cambiato esattamente in modo che io possa avere un certo margine di ricerca in questo.

Received From: domainname->netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
Rule: 533 fired (level 7) -> "Listened ports status (netstat) changed (new port opened or closed)."
Portion of the log(s):


ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
    tcp        0      0 0.0.0.0:922                0.0.0.0:*                  LISTEN      
    tcp        0      0 :::106                      :::*                        LISTEN      
    tcp        0      0 :::110                      :::*                        LISTEN      
    tcp        0      0 :::143                      :::*                        LISTEN      
    tcp        0      0 :::21                      :::*                        LISTEN      
    tcp        0      0 :::25                      :::*                        LISTEN      
    tcp        0      0 :::465                      :::*                        LISTEN      
    tcp        0      0 *.*.*.*:443            0.0.0.0:*                  LISTEN      
    tcp        0      0 *.*.*.*:80            0.0.0.0:*                  LISTEN      
    tcp        0      0 :::7080                    :::*                        LISTEN      
    tcp        0      0 :::7081                    :::*                        LISTEN      
    tcp        0      0 :::8443                    :::*                        LISTEN      
    tcp        0      0 :::8880                    :::*                        LISTEN      
    tcp        0      0 :::922  
    Previous output:
    ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
    tcp        0      0 0.0.0.0:10108              0.0.0.0:*                  LISTEN      
    tcp        0      0 0.0.0.0:922                0.0.0.0:*                  LISTEN      
    tcp        0      0 :::106                      :::*                        LISTEN      
    
posta codewizard 15.09.2014 - 18:21
fonte

2 risposte

1

La tua interpretazione dei risultati è corretta. Non ti manca nulla.

Dai commenti successivi, il motivo per cui ci sono meno dati è dovuto a un problema di rotazione del registro che ripulisce vecchi dati, il che ha senso.

Questo evento significa che è necessario tenere presente questo contesto e avere un modo per convalidare quali registri vengono avvisati e quanto sono completi tali log.

    
risposta data 06.01.2016 - 00:16
fonte
2

Per quello che vale, e per gli altri che arrivano a questa pagina cercando una risposta, ho visto un comportamento simile. Ho ricevuto regolarmente e in modo irritante le notifiche di livello 7 di OSSEC sulla regola 533.

I penso che viene attivato a causa del runlevel in cui OSSEC sta avviando e stabilendo l'attuale elenco di porte di ascolto, ha luogo prima che la maggior parte dei servizi che ascolteranno su 127.0.0.1 abbiano iniziato .

Per aggirare questo problema, ho spostato ossec da K20ossed a K98ossec in /etc/rc0.d. Sembra che IT abbia interrotto gli avvisi.

    
risposta data 04.12.2018 - 16:04
fonte

Leggi altre domande sui tag