OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

You would like to contribute something for IPFire?
5p9
Mentor
Mentor
Posts: 1707
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 12th, 2017, 9:51 pm

Hi,

ich halte mich mal kurz, bin schon fast am schlafen ;)

wget https://github.com/ummeegge/ossec-ipfir ... staller.sh

Code: Select all

./ossec_installer.sh
./ossec_installer.sh: line 7: syntax error near unexpected token `newline'
./ossec_installer.sh: line 7: `<!DOCTYPE html>'
und der ossec-admin macht gerade bei mir nix, wenn ich mit 'o' installieren will. ich finde nur im tmp folder dieses ding:

Code: Select all

/tmp/.ifstat.u0
Irgendwie will er mich gerade nicht :(

Nachti und bis morgen!

ummeegge
Community Developer
Community Developer
Posts: 4152
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 12th, 2017, 9:59 pm

Juten Abend 5p9,
das wäre eher der hier

Code: Select all

https://raw.githubusercontent.com/ummeegge/ossec-ipfire/master/ossec_installer.sh
bzw.
https://forum.ipfire.org/viewtopic.php? ... 924#p35656
oder der hier -->

Code: Select all

https://raw.githubusercontent.com/ummeegge/ossec-ipfire/master/ossec-admin.sh
bzw. https://forum.ipfire.org/viewtopic.php? ... 15#p109763

Grüssle,

UE
Image
Image
Image

5p9
Mentor
Mentor
Posts: 1707
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 12th, 2017, 10:03 pm

n'Abend UE,

bist heut auch so Nachteule wie ich :D

Danke für die Links...ich bin ein wenig verwirrt, oder es ist einfach schon zu spät. Werds testen mal sehen wie es läuft.

VG, 5p9

EDIT: Ist installiert und schon finde ich meldungen unter /var/ossec/logs/alerts/alerts.log

Code: Select all

** Alert 1505254426.4283: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/error_log.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4539: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/sql.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4789: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/composite.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.5045: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/file.php' is owned by root and has written permissions to anyone.

Mal angesehen, was will er mir damit sagen?

Code: Select all

ls -al /usr/lib/php/Log/sql.php
-rw-rw-rw- 1 root root 8763 May 14  2007 /usr/lib/php/Log/sql.php
oder damit

Code: Select all

** Alert 1505255178.6137: - clamd,freshclam,virus
2017 Sep 13 00:26:18 ipfw->/var/log/messages
Rule: 52507 (level 3) -> 'ClamAV database update'
Sep 13 00:26:16 ipfw freshclam[2958]: ClamAV update process started at Wed Sep 13 00:26:16 2017
Da muss ich bei clamav noch etwas machen habe ich das Gefühl...

ummeegge
Community Developer
Community Developer
Posts: 4152
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 13th, 2017, 6:02 am

Moin 5p9,
das ist der Syscheck --> http://ossec-docs.readthedocs.io/en/lat ... /syscheck/ der schaut unter anderem auch nach Dateiberechtigungen (UNIX permissions) und bei der ersten Meldung weist er dich darauf hin das 'others' (alle anderen) Schreibberechtigung haben wobei der File root als Eigentümer und Gruppe gehört, ich denke mit einem 664 wäre er zufrieden, ist ein 7er Alert sollte man sich mal angeschaut haben ob es Relevanz hat.

Der 2. ist ein 3er Alert also ein erfolgreicher Event, OSSEC gibt auch Rückmeldung wenn was geklappt hat ;) .

Die Alert Levels sind schon wichtig zu verstehen --> http://ossec-docs.readthedocs.io/en/lat ... evels.html .
Wenn du was geändert hast und willst wissen ob die Policy nun erfüllt ist kannst du mit einem

Code: Select all

/var/ossec/bin/ossec-syscheckd -f
schauen.
Im Syscheck kann es auch immer mal wieder false/positives geben, da ist dann der Admin gefragt, bei vielen Meldungen findest du auch im Netz was zu.

Grüsse,

UE
Image
Image
Image

5p9
Mentor
Mentor
Posts: 1707
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 13th, 2017, 8:08 am

Hi UE,

danke. Ja das mit den false/positives dachte ich mir natürlich auch schon, jedoch sind es wirklich viele Dateien die er mit dem rootcheck gefunden hat und da es ja ein komplett neu aufgesetztes System ist ist dieser Zustand der default der bei der Rohinstallation mit gegeben wird. Sollte ich hierfür ne Mail an die DEV-Jungs schicken, damit die das prüfen und ggf. anpassen?

Code: Select all

** Alert 1505254418.150: mail  - ossec,rootcheck,
2017 Sep 13 00:13:38 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
Trojaned version of file '/bin/grep' detected. Signature used: 'bash|givemer|/dev/' (Generic).

** Alert 1505254425.406: - ossec,rootcheck,
2017 Sep 13 00:13:45 ipfw->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: PHP - Expose PHP is enabled. File: /etc/php.ini.

** Alert 1505254425.596: - ossec,rootcheck,
2017 Sep 13 00:13:45 ipfw->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: PHP - Allow URL fopen is enabled. File: /etc/php.ini.

** Alert 1505254425.791: mail  - ossec,rootcheck,
2017 Sep 13 00:13:45 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/dev/nul' present on /dev. Possible hidden file.

** Alert 1505254426.1007: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.1253: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/mail.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.1504: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/observer.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.1759: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/daemon.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.2012: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/console.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.2266: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/mdb2.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.2517: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/display.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.2771: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/win.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.3021: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/firebug.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.3275: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/sqlite.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.3528: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/null.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.3779: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/syslog.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4032: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/mcal.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4283: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/error_log.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4539: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/sql.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.4789: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/composite.php' is owned by root and has written permissions to anyone.

** Alert 1505254426.5045: mail  - ossec,rootcheck,
2017 Sep 13 00:13:46 ipfw->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
File '/usr/lib/php/Log/file.php' is owned by root and has written permissions to anyone.
VG, 5p9

User avatar
gocart
Posts: 438
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 13th, 2017, 12:00 pm

Hallo...
Wie sieht´s mit False/Positives aus ?
Ossec trifft selbst keine Entscheidungen sondern wertet nur die REJECT Meldungen von Postfix aus. Von daher ist das allein von der Postfix Konfiguration abhängig. Die üblichen sinnlos False/Positives habe ich auch z.B. die grep Meldung.
Mit welchen Zeiten arbeitst du für <repeated_offenders> jetzt ?
Antwort:

Code: Select all

  <active-response>
    <!-- Firewall Drop response.
       - Block the IP from postfix log for 4 hours
       - on the firewall (iptables, ipfilter, etc).
      -->
    <disabled>no</disabled>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_group>spam</rules_group>
    <timeout>14400</timeout>
    <repeated_offenders>720,1440,2880</repeated_offenders>
  </active-response>
hast du da auch schon was wegen GPG Verschlüsselungen für die Mails gefunden ?
Gibt es da auch nicht... Wobei für mich persönlich auch keine Prio drauf liegt. Meine Mailziele sind alle intern...
Läuft GeoIP bei dir ?
Ist mit rein kompiliert. Die GeoLiteCity.dat ist auch hinterlegt und in der Konfig angegeben auf dem Testsystem. Nur getestet bzw. benutzt (Rules gebaut) habe ich es noch nicht.
Ist die Mailscanner.xml --> https://github.com/ossec/ossec-hids/blo ... _rules.xml für euch eigentlich zu gebrauchen
Hat mit dem Postfix Zeugs alles nichts zu tun bzw. die Log Meldungen sind mir unbekannt.
Grüße, gocart

User avatar
gocart
Posts: 438
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 13th, 2017, 12:59 pm

Post war veraltet und der Text wurde entfernt...
Last edited by gocart on September 20th, 2017, 10:35 am, edited 1 time in total.

User avatar
gocart
Posts: 438
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 14th, 2017, 12:04 pm

Hallo.. GeoIP geht...

Code: Select all

** Alert 1505389990.410536: - syslog,postfix,
2017 Sep 14 11:53:10 proxy->/var/log/mail
Rule: 3401 (level 2) -> 'Postfix: Connect with no reverse DNS'
Src IP: 14.182.221.51
Src Location: VN,Ha Giang,Meo Vac
Sep 14 13:53:09 proxy postfix/smtpd[17207]: connect from unknown[14.182.221.51]
Was mit noch gefehlt hat war:

Code: Select all

<alerts>
  <use_geoip>yes</use_geoip>
</alerts>
Grüße, gocart

5p9
Mentor
Mentor
Posts: 1707
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 14th, 2017, 12:17 pm

Hi,

hört sich ja gut an ab ich hab kein x64er laufen. :'( Aber ich brauch noch etwas Zeit für dieses Thema.

Bis dann, 5p9

ummeegge
Community Developer
Community Developer
Posts: 4152
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 14th, 2017, 3:11 pm

Hallo zusammen,
5p9 wrote:
September 13th, 2017, 8:08 am
Ja das mit den false/positives dachte ich mir natürlich auch schon, jedoch sind es wirklich viele Dateien die er mit dem rootcheck gefunden hat und da es ja ein komplett neu aufgesetztes System ist ist dieser Zustand der default der bei der Rohinstallation mit gegeben wird. Sollte ich hierfür ne Mail an die DEV-Jungs schicken, damit die das prüfen und ggf. anpassen?
OK gehen wir mal Stück für Stück durch.

Code: Select all

Trojaned version of file '/bin/grep' detected. Signature used: 'bash|givemer|/dev/' (Generic).
Ist ein false/positiv und wurde scheinbar auch schon gefixt --> https://github.com/ossec/ossec-hids/com ... f0c2204451 .
Patch für PHP expose und fopen wäre

Code: Select all

--- /etc/php.ini.orig	2017-09-14 16:43:54.502579146 +0200
+++ /etc/php.ini	2017-09-14 16:45:34.545370501 +0200
@@ -293,7 +293,7 @@
 ; (e.g. by adding its signature to the Web server header).  It is no security
 ; threat in any way, but it makes it possible to determine whether you use PHP
 ; on your server or not.
-expose_php = On
+expose_php = Off
 
 
 ;;;;;;;;;;;;;;;;;;;
@@ -602,7 +602,7 @@
 ;;;;;;;;;;;;;;;;;;
 
 ; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
-allow_url_fopen = On
+allow_url_fopen = Off
 
 ; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
 allow_url_include = Off
ich denke das dürfte keine grossen Effekte auf das System haben, hab es schon eine ganze Zeit so bei mir und hab nicht´s bemerkt/vermisst nutze aber auch nicht alles was das PHP hergibt.

Code: Select all

File '/dev/nul' present on /dev. Possible hidden file.
Hast du da mal reingeschaut ? Der sieht so aus:

Code: Select all

-> cat /dev/nul
smartctl 6.5 2016-05-07 r4318 [i686-linux-3.14.79-ipfire-pae] (IPFire 2.19)
Copyright (C) 2002-16, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF ENABLE/DISABLE COMMANDS SECTION ===
SMART Enabled.

ist kein "hidden file" und der Content sieht mir auch nicht allzu gefährlich aus :D , dennoch könnte mal geschaut werden warum der smartctl den File braucht und vor allem da ablegt ?

Code: Select all

File '/usr/lib/php/Log/*.php' is owned by root and has written permissions to anyone.
die restlichen Meldungen drehen sich alle um dieselbe PHP Erweiterung --> https://blog.pear.php.net/package/Log/download/1.9.11 . Für was 'Log' im Fire jetzt gebraucht wird kann ich gerade nicht sagen aber mit 664er permissions hab ich jedenfalls keinerlei Einschränkungen gehabt, dennoch könnte das ja mal vor der Mailingliste gecheckt werden ? Apache wird gerade neu gebaut und kann schon getestet werden, PHP wäre eine logische Konsequenz und das Know-How egal ob die 5er oder die 7er ist ja auch vielfälltig unterwegs, könnte beim Neubauen ja mal in Angriff genommen werden ? <-- Mal um ein wenig Butter bei die Fische zu geben ;) .
5p9 wrote:
September 14th, 2017, 12:17 pm
hört sich ja gut an ab ich hab kein x64er laufen. :'( Aber ich brauch noch etwas Zeit für dieses Thema.
Ich weiss nun nicht was du genau von 64Bit brauchst, der 2.8er Installer hier bietet 32 und 64 Bit an und hat auch die Postfix spezifischen Decoder und Rules an Board von denen gocart seine Testings oben gepostet hatte.
gocart hat ja auch eigene Sachen (Decoder und Rules) geschrieben, nutzt die neue Version 2.9.2er hat GeoIP, die DB´s und inotify an was bei der 2.8er nicht der Fall ist nur was brauchst du da jetzt von ?
@gocart
wenn du auf 32Bit nicht bauen kannst und der 5p9 da was spezifisches von dir braucht kannst du mir ja deine Klammotten zukommen lassen und ich bau´s für ihn ? Mal so als Idee.
gocart wrote:
September 14th, 2017, 12:04 pm
Hallo.. GeoIP geht...
Ja geht hier auch aber ist hal nicht für´s Mapping zu verwenden, das macht beim ELK logstash, ist aber nett dass es geht oder ?

Grüsse,

UE
Image
Image
Image

User avatar
gocart
Posts: 438
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 15th, 2017, 10:27 am

Hallo...
habe doch noch das Web Interface dran gebaut. Ist Apache 2.2 und 2.4 sowie PHP 5 und 7 fähig. Die Konfig wird entsprechend installiert. Das WUI ist wie bei UE mit Https://ipfire_ip:9955/ aufzurufen. Es wird die Anmeldung vom vom IPFire Admin benötigt. (.htaccess gebaut). Es gibt jetzt auch beide 32Bit und 64Bit Varianten. Die Konfig ist für GeoIP vorbereitet und es muss nur noch aktiviert werden. Werde wenn Zeit ist noch den Agent bauen als separates LFS file. Ansonsten bin ich mit dem Groben erst mal soweit durch.

LFS, Install und Konfig-Files gibt es hier im Git: http://git.ipfire.org/?p=people/mloren ... mailserver
Die Pakete gibt es hier: OSSEC 2.9.2 x64 und x86

@UE kann selbstverständlich 32 Bit bauen.
ist aber nett dass es geht oder ?
Habe deswegen die GeoIP Funktion von IPFire in Betrieb genommen mit den Ländern die besonders oft in der "Src Location" aufgetaucht sind und von denen ich keine Mails erwarte. Von daher jaaa... sehr nett... :)
Grüße, gocart
Last edited by gocart on September 20th, 2017, 10:46 am, edited 3 times in total.

5p9
Mentor
Mentor
Posts: 1707
Joined: May 1st, 2011, 3:27 pm

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by 5p9 » September 18th, 2017, 12:43 pm

Hi,

@UE, danke für die inputs. Hab mal nen Teil verbessert. Mal sehen was die Zeit so bringt.

Hab aber noch ein kleines Verständnisproblem bzgl. ossec_mailalert.sh unter (/etc/fcron.minutely) irgendwie tut der Hund nix.

mailalert hat auch einen chmod +x erhalten:

Code: Select all

nobody nobody /etc/fcron.minutely/ossec_mailalert.sh 
liegt da und ist dauerhaft leer:

Code: Select all

ossec nobody /var/ossec/logs/alerts/custom_dated_alert.log
Manuell funktioniert der Aufruf nur der der Automatist möchte nicht. Im script ist HOME=root dies sollte auch so passen. PUBKEYID ist hinterlegt funktioniert soweit auch. Ich hab mal nen NMAP gemacht:

Code: Select all

** Alert 1505736850.49399: - ids,
2017 Sep 18 14:14:10 ipfw->/var/log/snort/alert
Rule: 20101 (level 6) -> 'IDS event.'
[**] [1:2018489:3] ET SCAN NMAP OS Detection Probe [**]

** Alert 1505736850.49576: - ids,
2017 Sep 18 14:14:10 ipfw->/var/log/snort/alert
Rule: 20101 (level 6) -> 'IDS event.'
[**] [1:2018489:3] ET SCAN NMAP OS Detection Probe [**]
Diese zwei hätte er mir doch automatisiert zukommen lassen müssen, oder nicht? Wenn ich die beiden in die custom_dated_alert.log lege und mir per Script den check laufen lassen manuell erhalte ich die Mail.

Irgendwelche Ideen dazu warum der das nicht abhandeln will bei mir?

VG, 5p9

PS: Na nach einem Oktoberfestwochenende ist alles ein wenig schwieriger :D

ummeegge
Community Developer
Community Developer
Posts: 4152
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 18th, 2017, 1:37 pm

Hallo 5p9,
schaust du mal ob die PIPE an ist ?

Code: Select all

ps x | grep -v grep | grep 'tail -F'
wenn nein dann mal Kurzcheck ob in /etc/sysconfig/rc.local alles da ist, da müsste sowas

Code: Select all

# Ossec realtime log for e-mail alerts begin
tail -F /var/ossec/logs/alerts/alerts.log |\
while read line; do echo "$line"; done \
> /var/ossec/logs/alerts/custom_dated_alert.log &
# Ossec realtime log for e-mail alerts end
zu finden sein. Wenn tail nicht läuft dann kannst den ja mal manuell absetzen...

So als erste Idee.

Grüsse und gute Erholung,

UE
Image
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4152
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 19th, 2017, 8:48 am

Moin 5p9,
Hab da mal ein paar Sachen gefixt, gut das du nochmal gegengecheckt hast.

Gefixt:
- OSSEC Alertlog Meldung wird nun komplett in der Email angezeigt <-- Der eigene Email Mechanismus natürlich ;-)
- Check für custom-mail Verzeichnis bzw. custom-maillog für GPG und Testmail wurde ergänzt.
- Gibt nun auch eine Funktionsanzeige im Aktivieren/Deaktivieren Bereich beim Email-Setup-Assisten.
- Checks wurden im Startbereich des Email-Alerts geändert und werden in der Console angezeigt.
- PID wird nun anders ermittelt (wird bei Zeit noch mal schicker gemacht ;-).
- Gekillt wird nun anders.
- Uninstall beim ossec installer für eigenes Email-Setup wurde ergänzt.

Installation geht wie normal:

Code: Select all

cd /tmp || exit 1
curl -O https://raw.githubusercontent.com/ummeegge/ossec-ipfire/master/ossec-admin.sh
chmod +x ossec-admin.sh && ./ossec-admin.sh
.

Grüsse,

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest