OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

You would like to contribute something for IPFire?
User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 2nd, 2017, 8:13 am

Sooo, grad aus der make.sh gefallen... die x64 Pakete...

GeopIP : -gelöscht-
OSSEC : -gelöscht- als "TARGET=Local" Build.

Mir deiner gemergten Agent- Basiskonfig UE. Der die Dienste werden direkt mit einer fertigen Konfiguration gestartet. Um Webseite habe ich mich noch nicht gekümmert... Habe erst mal genug Zeit verbrannt... :(

Active Rules:

Code: Select all

  <rules>
    <include>rules_config.xml</include>
    <include>sshd_rules.xml</include>
    <include>syslog_rules.xml</include>
    <include>apache_rules.xml</include>
    <include>squid_rules.xml</include>
    <include>firewall_rules.xml</include>
    <include>unbound_rules.xml</include>
  </rules> 
Wenn wir Pech haben, geht das E-Mail versenden nicht wegen harten IPv6 Support. Bin im Netz über diverse Bug-Reports gestolpert.

Grüße, gocart
Last edited by gocart on September 6th, 2017, 10:21 am, edited 1 time in total.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 3rd, 2017, 10:02 am

Hallo zusammen,
schön euch beide mal hier zusehen ;) .
5p9 wrote:
August 31st, 2017, 12:29 pm
was mir aufgefallen ist, obwohl die wi mit der 0.9er installiert wurde steht in dem wi 0.8 , stört mich soweit aber nciht weiter.
ich denke das war ein schneller Fix für eine XSS Lücke --> https://github.com/ossec/ossec-wui/releases wobei das WI relativ stiefmütterlich behandelt wird und weitere Änderungen nicht gemacht wurden. Die schreiben auch das der ELK-Stack --> https://forum.ipfire.org/viewtopic.php?f=50&t=19263 da einfach netter ist was ich bestätigen kann aber hier erstmal keine Relevanz hat (einfach zu umfangreich) und für einen Schnellüberblick das so auch in Ordnung sein müsste.
gocart wrote:
September 2nd, 2017, 7:53 am
Hätte ich gewusst u was ich mich da einlasse mit ossec hätte ich wahrscheinlich die Finger davon gelassen! So ein Gefrickel hatte ich schon lange nicht mehr. Die 2.9.1 will nur als Agent gar nicht ohne Server. Der Server geht nicht zu starten dar er IPv6 hart rein kompiliert hat. Das müsste man raus patchen. Ich tue mir das aber nicht an. Da kommt mehrfach :

Code: Select all

2017/09/01 18:41:43 getaddrinfo: Name or service not known
2017/09/01 18:41:43 ossec-remoted(1206): ERROR: Unable to Bind port '1514'
Im Netz findet man nur sinngemäß mach doch mal IPv6 an. Ist hier aber keine Option. Bleibt nur die "TARGET=local" oder die "hybrid" Variante.
Die 2.9.er hatte ich bis jetzt nur mit der Binary Installer Variante (im chroot zusammenbauen) probiert und hatte da auch schon Probleme weswegen ich die 2.9er auch hier noch nicht integriert hatte. Die RHEL Jungs haben sich deswegen auch schon gemeldet und haben die Sourcen gepatched --> https://github.com/ossec/ossec-hids/issues/1145 , Patch sieht nicht so gewaltig aus ist aber auch nur ein Workaround. OSSEC 2.9.2 is draussen allerdings konnt ich da ausser dem Bugreport --> https://github.com/ossec/ossec-hids/issues noch keinen offiziellen Fix finden.
gocart wrote:
September 2nd, 2017, 7:53 am
Bleibt nur die "TARGET=local" oder die "hybrid" Variante. Die Doku dazu im Netz ist allesamt für die 2.8.x. und für die 2.9.1 in großen teilen veraltet. Über "hybrid" habe ich gar nix gefunden
Das Makefile sagt zu "hybrid" eigentlich ja --> https://github.com/ossec/ossec-hids/blo ... efile#L484 . Die Doku hat zwar einen neuen Look spendiert bekommen --> https://ossec.github.io/docs/ ist aber in Teilen immer noch auf die 2.8er ausgelegt, denke aber das die daran arbeiten.
gocart wrote:
September 2nd, 2017, 7:53 am
Die "Local" startet soweit und ich denke wir sollten uns darauf konzentrieren.
Hört sich für die neue Version erstmal gut an.
gocart wrote:
September 2nd, 2017, 7:53 am
Sobald ich die Pakete fertig habe, werd ich sie hier hochladen und dann könnten wir uns an das Regel bauen machen. Ein vorgefertiges Regelset ist mit der postfix_rules.xml mit dabei :) ps. Das ossec baue ich mit geoip und inotify support. Die Geoip Package liefere ich mit... Mit inotify wird das überwachen der lokalen Dateien schneller.
Alles klar, wenn ich wieder am Start bin check ich das mal gegen und teste die neue Version mitaus.
Für euch dürfte vor allem ja Postfix interessant sein, bin da mal gespannt ob das für euch eine praktikable Lösung ist. Das ganze gefrickel fällt auch mit der 2.8er die hier ja angeboten wird aus und arbeitet hier solide. Ich denke das die neue Version noch so einige Fixes/Erweiterungen bekommt da OSSEC in den ganzen Security/Researcher Kreisen immer öfter genutzt wird --> https://idatalabs.com/tech/products/ossec und das nötige Kleingeld/Entwickler zugegen sind.
gocart wrote:
September 2nd, 2017, 7:53 am
So sieht das LFS-File ander Stelle übrigens aus:

Code: Select all

	cd $(DIR_APP)/src && make TARGET=local USE_GEOIP=yes USE_INOTIFY=yes
	cd $(DIR_APP)/src && make install TARGET=local
Das Installer Skript gibt es auch noch nützt nur nicht wirklich was und ob das die ultimative Lösung ist, weiß ich natürlich auch nicht.
Jo,
- bei den Paks steckt noch einwenig Fingerfasching dahinter :P .
- in der ossec.conf bzw. den rules kann so einiges rausgenommen werden (IPFire ist nunmal kein Windows) wenn IPFire nicht als Server werkelt sind solche und andere Rules sinnlos.
- Die automatische Erkennung der Logs im Installer sind eigentlich eine feine Sache und wären beim LFS build nicht mehr vorhanden.
- Wie schon erwähnt ist die ganze Konfiguration ohne den installer zu Fuss zu machen.

Um ein paar Punkte zu nennen (hab denke ich bestimmt noch was vergessen). Hatte damit --> https://github.com/ummeegge/ossec-ipfir ... igure#L208 schon mal probiert ein paar Sachen abzufangen und eben einen eigenen configure zu bauen ist aber noch nicht soweit und erst am Anfang, mach da aber weiter wenn ich mit dem neuen OpenVPN durch bin.
gocart wrote:
September 2nd, 2017, 8:13 am
Sooo, grad aus der make.sh gefallen... die x64 Pakete...

GeopIP : GeoIP 1.6.9
OSSEC : OSSEC 2.9.1 als "TARGET=Local" Build.
Mir deiner gemergten Agent- Basiskonfig UE. Der die Dienste werden direkt mit einer fertigen Konfiguration gestartet. Um Webseite habe ich mich noch nicht gekümmert..
Feine Sache, bei Zeit baue ich mal parallel modifiziert und schau was die neue Version und die hybrid option noch so mit sich bringt.
gocart wrote:
September 2nd, 2017, 8:13 am
Habe erst mal genug Zeit verbrannt... :(
Jo kenn ich ;) , wenn´s schnell gehen soll einfach mal den Installer von hier --> https://forum.ipfire.org/viewtopic.php? ... 924#p35656 verwenden ist halt die 2.8er arbeitet aber und ist bei Ungnade auch schnell wieder deinstalliert.
gocart wrote:
September 2nd, 2017, 8:13 am
Wenn wir Pech haben, geht das E-Mail versenden nicht wegen harten IPv6 Support. Bin im Netz über diverse Bug-Reports gestolpert.
Hab da eine alternative mit sendEmail und GPG gebaut. Der Piped das alert.log und grep sich Alert Levels von 6-16 raus, schreibt das in einen File, verschlüsselt mit GPG und schick das als Anlage per sendEmail --> https://forum.ipfire.org/viewtopic.php? ... =15#p96198 . Sollte eigentlich auch mit ohne IPv6 Patch funtkionieren. Hab da mal einen Setupassistent gebaut --> https://github.com/ummeegge/ossec-ipfir ... l_setup.sh <-- wüsste gerade nicht warum der mit der neuen 2.9er nicht auch gehen sollte hab´s aber auch noch nicht getestet.

Grüssle allerseits,

UE
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 4th, 2017, 12:06 pm

Hallo UE

Die 2.9.2 gibt es hier https://github.com/ossec/ossec-hids/releases. Einen IPv6 Patch hatte ich nicht gefunden, hab mich selbst mal dran versucht und bin jetzt auf dem Stand das sich der remoted kommentarlos selbst beendet. :( Das mit deiner Extra Mail Lösung ist zwar nett aber das sollte alles das der dafür vorgesehene Mail-Daemon von OSSEC machen. IPFire ist dann der Server der mit sich selbst überwacht, der Mail Daemon läuft und der auch andere Clients mit überwachen kann.

Grüße, gocart
Last edited by gocart on September 4th, 2017, 12:12 pm, edited 1 time in total.

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 4th, 2017, 4:56 pm

Hi gocart,
hab den Doppelpost mal gelöscht.
gocart wrote:
September 4th, 2017, 12:06 pm
Einen IPv6 Patch hatte ich nicht gefunden
so wie ich das hier --> https://github.com/ossec/ossec-hids/iss ... -309210466 verstehe sollte der Patch so aussehen:

Code: Select all

diff -Nur ossec-hids-2.9.2.orig/src/os_net/os_net.c ossec-hids-2.9.2/src/os_net/os_net.c
--- ossec-hids-2.9.2.orig/src/os_net/os_net.c	2017-08-09 14:15:46.000000000 +0200
+++ ossec-hids-2.9.2/src/os_net/os_net.c	2017-09-04 18:25:01.126249890 +0200
@@ -49,7 +49,7 @@
 
     memset(&hints, 0, sizeof(struct addrinfo));
 #ifdef AI_V4MAPPED
-    hints.ai_family = AF_INET6;    /* Allow IPv4 and IPv6 */
+    hints.ai_family = AF_INET;    /* Allow IPv4 */
     hints.ai_flags = AI_PASSIVE | AI_ADDRCONFIG | AI_V4MAPPED;
 #else
     /* Certain *BSD OS (eg. OpenBSD) do not allow binding to a

könnte hiernach --> http://man7.org/linux/man-pages/man3/getaddrinfo.3.html auch eine Möglichkeit sein was zu testen wäre.
gocart wrote:
September 4th, 2017, 12:06 pm
Das mit deiner Extra Mail Lösung ist zwar nett aber das sollte alles das der dafür vorgesehene Mail-Daemon von OSSEC machen.
Soweit ich weiss sollte die 2.9er mittlerweile SMTP-Auth können (die 2.8er weigert sich da behaarlich) aber von Verschlüsselung der Mailalerts weiss ich nichts. Ist in deiner Umgebung vielleicht auch weniger dramatisch mit eigenem lokalen Mailserver ? Aber ohne sehen solche Mails im Klartext seltsam aus wenn die Mails überhaupt bei regulären Providern ankommen was bei 95% nicht der Fall war (5% nur anfänglich dann nicht mehr) .
gocart wrote:
September 4th, 2017, 12:06 pm
IPFire ist dann der Server der mit sich selbst überwacht, der Mail Daemon läuft und der auch andere Clients mit überwachen kann.
Das ist aber dann kein 'local' mehr sondern ein 'server' und wäre dann nach dem oben angesprochenen ein andere Variante, welche ja auch nett ist wenn sie funktioniert...

Grüsse,

UE
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 5th, 2017, 3:42 pm

Hallo UE
Das ist aber dann kein 'local' mehr sondern ein 'server'
Nach dem Hinweis auf einen möglichen Patch hab ich natürlich gleich nochmal den Sever Build probiert. Wenn schon dann das AI-Paket an der Bar ;) Bei "Local" gibt es keinen "remoted" Problem nicht gelöst nur weggelassen... Der "maild" geht deswegen aber auch nicht... Wie war das noch mal mit dem Gefrickel... >:(
vielleicht auch weniger dramatisch mit eigenem lokalen Mailserver
So war der Plan... Ich habe da glaube ich was in der Wühlkiste.. :P Ich muss mal auf die Suche gehen...

Code: Select all

 hints.ai_family = AF_INET; 
Genauso habe ich das gemacht... War aber wahrscheinlich noch nicht alles. Der Daemon beendet sich kommentarlos selbst auch mit voll Debug alles an... Im logfile null Text. Das ist alles was Kommt:

Code: Select all

2017/09/05 15:31:25 ossec-remoted: INFO: Started (pid: 12311).
2017/09/05 15:31:25 ossec-remoted: DEBUG: Forking remoted: '0'.
und weg isser... :( Fehlt da womöglich wieder eine GNU Funktion in der Glibc wie bei Unbound weil das von BSD kommt.?'!?
Hier auch noch mal der Server Build: -gelöscht- OSSEC 2.9.2 Server + AF_INET Patch

Ach und es gibt noch den Hinweis einen Dummy-Agent zu erstellen Damit der Daemon startet, habe ich auch gemacht mit "manage_agents" Bringt auch nix. Der nachste Schraubenschlüssel wäre dann strace. Da habe ich bloße wieder keine Ahnung wie ich das in chroot benutzen soll.

Grüße, gocart
Last edited by gocart on September 6th, 2017, 10:22 am, edited 2 times in total.

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 5th, 2017, 5:00 pm

Update zum letzten Post...

Der remoted läuft als root user... Der Patch scheint es jetzt das erste Problem zu lösen bzw. geht es ohne IPv6... Wie such ich das jetzt wieder... ?!?

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 5th, 2017, 5:20 pm

gocart wrote:
September 5th, 2017, 5:00 pm
Update zum letzten Post...

Der remoted läuft als root user... Der Patch scheint es jetzt das erste Problem zu lösen bzw. geht es ohne IPv6... Wie such ich das jetzt wieder... ?!?

Grüße, gocart
OSSEC legt extra User und Gruppe an:

Code: Select all

-> grep 'ossec' /etc/group /etc/passwd
/etc/group:ossec:x:1005:
/etc/passwd:ossec:x:1005:1005::/var/ossec:/sbin/nologin
/etc/passwd:ossecm:x:1006:1005::/var/ossec:/sbin/nologin
/etc/passwd:ossecr:x:1007:1005::/var/ossec:/sbin/nologin
ist jetzt der Server. Läuft remoted mit root oder ohne ? In der Directory wird er mit
install -m 0750 -o root -g 0 ossec-remoted /var/ossec/bin
installiert.

Hab da auch noch ein paar Neuigkeiten:
Hört sich zwar erstmal nach einem Arrgh an aber...
hab auch mal weiter gekruschtelt nach dem ich das OpenVPN mit neuer Version mal rausgehauen hab und naja was soll ich sagen alles wird anders alles wird besser ? Bis jetzt schonmal nicht sooo schlecht.
Also hab das hier gefunden --> https://wazuh.com/ nennt sich Wazuh und nutzt (bzw. ist) OSSEC aber gepimpt. Hab mal die alten Routinen vom Binary installer probiert und im chroot hybrid zusammengebaut {Hybrid = local + Server was zu beweisen wäre :P } ..., gepackt, alte OSSEC installation erstmal abgekickt und neues Wazuh installiert, ein wenig genauer...

- Sourcen von hier --> https://github.com/wazuh/wazuh/releases in´s chroot verschleppt.
- Rein nach src/ mal ganz blöde nach make all gefragt und folgendes serviert bekommen:

Code: Select all

make: *** No rule to make target 'all'.  Stop.
ipfire build chroot (i686) root:/tmp/wazuh-2.1.0/src$ make build
TARGET is required: 
   make TARGET=server   to build the server
   make TARGET=local      - local version of server
   make TARGET=hybrid     - hybrid version of server
   make TARGET=agent    to build the unix agent
   make TARGET=winagent to build the windows agent
sieht nach einem 2.9er aus (mal weiterschauen).

Code: Select all

make TARGET=hybrid
ausgeführt und länger als gewohnt gewartet :D .
- Zurück in´s Main dir und etc/ konsultiert. Das sieht alles schon so aus wie OSSEC gibt aber noch das eine oder andere mehr ;) , die 'preloaded-vars.conf' modifiziert und den binary installer von

Code: Select all

# If USER_BINARYINSTALL is set, the installation
# is not going to compile the code, but use the
# binaries from ./bin/
#USER_BINARYINSTALL="x"
auf

Code: Select all

# If USER_BINARYINSTALL is set, the installation
# is not going to compile the code, but use the
# binaries from ./bin/
USER_BINARYINSTALL="y"
geht natürlich auch mit einem

Code: Select all

echo "USER_BINARYINSTALL=\"y\"" >> wazuh*/etc/preloaded-vars.conf
aber um das mal step-by-step zuhalten.
- Raus aus dem Wazuh Verzeichnis und mit einem
tar -cvzf wazuh-hybrid-binary-2.1.0.tgz wazuh-2.1.0
wieder gepackt.
- Rauf auf eine Maschine ohne GCC oder make, entpackt

Code: Select all

tar xvfz wazuh-hybrid-binary-2.1.0.tgz
der Rest sieht dann fast bekannt aus:

Code: Select all

[Tue Sep 05 17:38:13] [root@ipfire-server]  /tmp 
-> cd wazuh-2.1.0/
[Tue Sep 05 17:38:17] [root@ipfire-server]  /tmp/wazuh-2.1.0 
-> ls
active-response    BUGS          CONFIG   CONTRIBUTORS  etc         gen_ossec.sh  install.sh    Jenkinsfile-daily    LICENSE    src
add_localfiles.sh  CHANGELOG.md  contrib  doc           extensions  INSTALL       integrations  Jenkinsfile-instant  README.md  wodles
[Tue Sep 05 17:38:18] [root@ipfire-server]  /tmp/wazuh-2.1.0 
-> ./install.sh 

  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Für eine deutsche Installation, wählen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en español, elija [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: de


 Wazuh v2.1.0 Installations Script - http://www.wazuh.com

 Um Wazuh zu installieren muss auf Ihrem System ein C-Compiler
 installiert sein.

  - System: Linux ipfire-server 3.14.79-ipfire-pae (Linux 0.0)
  - User: root
  - Host: ipfire-server


  -- Drücken Sie eine Taste zum fortfahren oder Ctrl-C zum abbrechen --


1- Welche Art der Installation möchten Sie starten (server,agent,lokal oder hilfe)? lokal

  - Lokale installation ausgewählt.

2- Die Installation wird vorbereitet.

 - Bitte wöhlen Sie wo Wazuh installiert werden soll [/var/ossec]: 

    - Die Installation wird kopiert nach  /var/ossec .

3- Konfiguration  Wazuh.

  3.1- Möchten Sie Benachrichtigungen per E-Mail?  (j/n) [n]: n

   --- E-Mail Benachrichtigung wird übersprungen .

  3.2- Möchten Sie den syscheck (integrity check daemon) benutzen? (j/n) [j]: j

   - Syscheck (integrity check daemon) wird gestartet.

  3.3- Möchten Sie die rootkit detection engine benutzen? (j/n) [j]: j

   - Rootcheck (rootkit detection) wird gestartet.

  3.4- Möchten Sie OpenSCAP benutzen? (j/n) [j]: j

   - OpenSCAP wird gestartet.

  3.5- Mit 'Active Response' können Befehle abhängig von
       Events ausführen.
       Standardmäßig sind keine 'Active Response' definiert.

   - Standard Ausnahmeliste (White-list) für active response:
      - 127.0.0.1

   - Möchten Sie weitere IPs zur White-list hinzufügen? (j/n)? [n]: j
   - IPs (Durch Leerzeichen getrennt): 192.168.7.2

  3.7- Die folgenden Log-Files werden analysiert:

    -- /var/log/httpd/error_log
    -- /var/log/httpd/access_log
    -- /var/log/nginx/access.log
    -- /var/log/nginx/error.log
    -- /var/ossec/logs/active-responses.log
    -- /var/log/messages
    -- /var/log/radius/radius.log
    -- /var/log/squid/access.log

 - Wenn Sie weitere Files überwachen möchten, fügen Sie
   einen weiteren 'localfile' Eintrag in der Datei
   ossec.conf hinzu. Alle Konfigurationsoptionen werden
   unter https://documentation.wazuh.com/ beschrieben.


   --- Drücken Sie eine Taste um fortzufahren ---


4- Installiere das System
 - make wird ausgeführt
cd external/lua-5.2.3/ && make posix
make[1]: Entering directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3'
cd src && make posix
make[2]: Entering directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3/src'
make all SYSCFLAGS="-DLUA_USE_POSIX"
make[3]: Entering directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3/src'
make[3]: Nothing to be done for 'all'.
make[3]: Leaving directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3/src'
make[2]: Leaving directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3/src'
make[1]: Leaving directory '/tmp/wazuh-2.1.0/src/external/lua-5.2.3'
make settings
make[1]: Entering directory '/tmp/wazuh-2.1.0/src'

General settings:
    TARGET:           local
    V:                
    DEBUG:            
    DEBUGAD           
    PREFIX:           /var/ossec
    MAXAGENTS:        8000
    REUSE_ID:         no
    DATABASE:         
    ONEWAY:           no
    CLEANFULL:        no
User settings:
    OSSEC_GROUP:      ossec
    OSSEC_USER:       ossec
    OSSEC_USER_MAIL:  ossecm
    OSSEC_USER_REM:   ossecr
Lua settings:
    LUA_PLAT:         posix
USE settings:
    USE_ZEROMQ:       no
    USE_GEOIP:        no
    USE_PRELUDE:      no
    USE_OPENSSL:      auto
    USE_LEGACY_SSL:   
    USE_PICVIZ:       yes
    USE_INOTIFY:      no
Mysql settings:
    includes:         
    libs:             
Pgsql settings:
    includes:         
    libs:             
Defines:
    -DMAX_AGENTS=8000 -DOSSECHIDS -DDEFAULTDIR="/var/ossec" -DUSER="ossec" -DREMUSER="ossecr" -DGROUPGLOBAL="ossec" -DMAILUSER="ossecm" -DLinux -DINOTIFY_ENABLED -D_XOPEN_SOURCE=600 -D_GNU_SOURCE -DPICVIZ_OUTPUT_ENABLED -DLOCAL
Compiler:
    CFLAGS           -O2 -DMAX_AGENTS=8000 -DOSSECHIDS -DDEFAULTDIR="/var/ossec" -DUSER="ossec" -DREMUSER="ossecr" -DGROUPGLOBAL="ossec" -DMAILUSER="ossecm" -DLinux -DINOTIFY_ENABLED -D_XOPEN_SOURCE=600 -D_GNU_SOURCE -DPICVIZ_OUTPUT_ENABLED -DLOCAL -pipe -Wall -Wextra -I./ -I./headers/
    LDFLAGS          -lm -pthread -lrt -ldl
    CC              cc
    MAKE            make
make[1]: Leaving directory '/tmp/wazuh-2.1.0/src'

Done building local

./init/adduser.sh ossec ossecm ossecr ossec /var/ossec
Wait for success...
success
install -d -m 0750 -o root -g ossec /var/ossec/
install -d -m 0750 -o ossec -g ossec /var/ossec/logs
install -d -m 0750 -o ossec -g ossec /var/ossec/logs/ossec
install -m 0660 -o ossec -g ossec /dev/null /var/ossec/logs/ossec.log
install -m 0660 -o ossec -g ossec /dev/null /var/ossec/logs/ossec.json
install -m 0660 -o ossec -g ossec /dev/null /var/ossec/logs/active-responses.log
install -d -m 0750 -o root -g 0 /var/ossec/bin
install -d -m 0750 -o root -g 0 /var/ossec/lua
install -d -m 0750 -o root -g 0 /var/ossec/lua/native
install -d -m 0750 -o root -g 0 /var/ossec/lua/compiled
install -m 0750 -o root -g 0 ossec-logcollector /var/ossec/bin
install -m 0750 -o root -g 0 ossec-syscheckd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-execd /var/ossec/bin
install -m 0750 -o root -g 0 manage_agents /var/ossec/bin
install -m 0750 -o root -g 0 external/lua-5.2.3/src/ossec-lua /var/ossec/bin/
install -m 0750 -o root -g 0 external/lua-5.2.3/src/ossec-luac /var/ossec/bin/
install -m 0750 -o root -g 0 ../contrib/util.sh /var/ossec/bin/
install -m 0750 -o root -g 0 ./init/ossec-local.sh /var/ossec/bin/ossec-control
install -m 0750 -o root -g 0 wazuh-modulesd /var/ossec/bin/
install -d -m 0750 -o root -g ossec /var/ossec/queue
install -d -m 0770 -o ossec -g ossec /var/ossec/queue/alerts
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/ossec
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/syscheck
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/diff
install -d -m 0750 -o root -g ossec /var/ossec/wodles
install -d -m 0770 -o root -g ossec /var/ossec/var/wodles
install -d -m 0750 -o root -g ossec /var/ossec/wodles/oscap
install -d -m 0750 -o root -g ossec /var/ossec/wodles/oscap/content
install -m 0750 -o root -g ossec ../wodles/oscap/oscap.py /var/ossec/wodles/oscap
install -m 0750 -o root -g ossec ../wodles/oscap/template_*.xsl /var/ossec/wodles/oscap
install -m 0640 -o root -g ossec ../wodles/oscap/content/* /var/ossec/wodles/oscap/content
install -d -m 0770 -o ossec -g ossec /var/ossec/etc
install -m 0640 -o root -g ossec /etc/localtime /var/ossec/etc
install -d -m 1750 -o root -g ossec /var/ossec/tmp
install -m 0640 -o root -g ossec -b ../etc/internal_options.conf /var/ossec/etc/
install -m 0640 -o root -g ossec ../etc/local_internal_options.conf /var/ossec/etc/local_internal_options.conf
install -m 0640 -o root -g ossec /dev/null /var/ossec/etc/client.keys
install -m 0640 -o root -g ossec ../etc/ossec.mc /var/ossec/etc/ossec.conf
install -d -m 0770 -o root -g ossec /var/ossec/etc/shared
install -m 0660 -o root -g ossec rootcheck/db/*.txt /var/ossec/etc/shared/
install -d -m 0750 -o root -g ossec /var/ossec/active-response
install -d -m 0750 -o root -g ossec /var/ossec/active-response/bin
install -d -m 0750 -o root -g ossec /var/ossec/agentless
install -m 0750 -o root -g ossec agentlessd/scripts/* /var/ossec/agentless/
install -d -m 0700 -o root -g ossec /var/ossec/.ssh
install -m 0750 -o root -g ossec ../active-response/*.sh /var/ossec/active-response/bin/
install -m 0750 -o root -g ossec ../active-response/firewalls/*.sh /var/ossec/active-response/bin/
install -d -m 0750 -o root -g ossec /var/ossec/var
install -d -m 0770 -o root -g ossec /var/ossec/var/run
./init/fw-check.sh execute
install -d -m 0750 -o root -g ossec /var/ossec/etc/decoders
install -d -m 0750 -o root -g ossec /var/ossec/etc/rules
install -d -m 770 -o root -g ossec /var/ossec/var/db
install -d -m 770 -o root -g ossec /var/ossec/var/db/agents
install -d -m 0750 -o ossec -g ossec /var/ossec/logs/archives
install -d -m 0750 -o ossec -g ossec /var/ossec/logs/alerts
install -d -m 0750 -o ossec -g ossec /var/ossec/logs/firewall
install -m 0750 -o root -g 0 ossec-agentlessd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-analysisd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-monitord /var/ossec/bin
install -m 0750 -o root -g 0 ossec-reportd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-maild /var/ossec/bin
install -m 0750 -o root -g 0 ossec-remoted /var/ossec/bin
install -m 0750 -o root -g 0 ossec-logtest /var/ossec/bin
install -m 0750 -o root -g 0 ossec-csyslogd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-authd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-dbd /var/ossec/bin
install -m 0750 -o root -g 0 ossec-makelists /var/ossec/bin
install -m 0750 -o root -g 0 verify-agent-conf /var/ossec/bin/
install -m 0750 -o root -g 0 clear_stats /var/ossec/bin/
install -m 0750 -o root -g 0 list_agents /var/ossec/bin/
install -m 0750 -o root -g 0 ossec-regex /var/ossec/bin/
install -m 0750 -o root -g 0 syscheck_update /var/ossec/bin/
install -m 0750 -o root -g 0 agent_control /var/ossec/bin/
install -m 0750 -o root -g 0 syscheck_control /var/ossec/bin/
install -m 0750 -o root -g 0 rootcheck_control /var/ossec/bin/
install -m 0750 -o root -g 0 ossec-integratord /var/ossec/bin/
install -m 0750 -o root -g 0 -b update/ruleset/update_ruleset.py /var/ossec/bin/update_ruleset.py
install -d -m 0750 -o ossec -g ossec /var/ossec/stats
install -d -m 0750 -o root -g ossec /var/ossec/ruleset
install -d -m 0750 -o root -g ossec /var/ossec/ruleset/decoders
install -d -m 0750 -o root -g ossec /var/ossec/ruleset/rules
install -m 0640 -o root -g ossec -b update/ruleset/RULESET_VERSION /var/ossec/ruleset/VERSION
install -m 0640 -o root -g ossec -b ../etc/rules/*.xml /var/ossec/ruleset/rules
install -m 0640 -o root -g ossec -b ../etc/decoders/*.xml /var/ossec/ruleset/decoders
install -m 0640 -o root -g ossec -b ../etc/local_decoder.xml /var/ossec/etc/decoders/local_decoder.xml
install -m 0640 -o root -g ossec -b ../etc/local_rules.xml /var/ossec/etc/rules/local_rules.xml
install -d -m 0750 -o root -g ossec /var/ossec/etc/lists
install -m 0640 -o root -g ossec -b ../etc/lists/audit-keys /var/ossec/etc/lists/audit-keys
install -m 0640 -o root -g ossec -b ../etc/lists/audit-keys.cdb /var/ossec/etc/lists/audit-keys.cdb
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/fts
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/rootcheck
install -d -m 0770 -o ossecr -g ossec /var/ossec/queue/agent-info
install -d -m 0750 -o ossec -g ossec /var/ossec/queue/agentless
install -d -m 0770 -o ossecr -g ossec /var/ossec/queue/rids
install -d -m 0750 -o root -g ossec /var/ossec/backup
install -d -m 0750 -o ossec -g ossec /var/ossec/backup/agents
install -d -m 0750 -o root -g ossec /var/ossec/integrations
install -m 750 -o root -g ossec ../integrations/* /var/ossec/integrations
touch /var/ossec/logs/integrations.log
chmod 640 /var/ossec/logs/integrations.log
chown ossecm:ossec /var/ossec/logs/integrations.log
rm -f /var/ossec/etc/shared/merged.mg


 - Erkanntes System  Linux (SysV).
 - Init script wurde verändert um Wazuh beim boot zu starten.

 - Konfguration erfolgreich durchgeführt .

 - Um Wazuh zu starten:
      /var/ossec/bin/ossec-control start

 - Um Wazuh zu stoppen:
      /var/ossec/bin/ossec-control stop

 - Die Konfiguration kann angesehen oder verändert werden unter:  /var/ossec/etc/ossec.conf


    Vielen Dank für Wazuh benutzen.
    Bei Fragen, Anregungen oder wenn Sie einen Fehler gefunden
    haben, können Sie mit uns kontaktieren.

    Bitte, benutzen Sie unsere Mailingliste:
            https://groups.google.com/forum/#!forum/wazuh

    Weitere Informtionen finden Sie unter:
          - http://www.wazuh.com
          - http://www.ossec.net

    ---  Drücken Sie eine Taste um fortzufahren  ---






[Tue Sep 05 17:39:34] [root@ipfire-server]  /tmp/wazuh-2.1.0 
-> cd /var/ossec/bin/
[Tue Sep 05 17:39:41] [root@ipfire-server]  /var/ossec/bin 
-> ls
agent_control  manage_agents     ossec-authd     ossec-dbd          ossec-logcollector  ossec-luac       ossec-monitord  ossec-reportd      syscheck_control   util.sh
clear_stats    ossec-agentlessd  ossec-control   ossec-execd        ossec-logtest       ossec-maild      ossec-regex     ossec-syscheckd    syscheck_update    verify-agent-conf
list_agents    ossec-analysisd   ossec-csyslogd  ossec-integratord  ossec-lua           ossec-makelists  ossec-remoted   rootcheck_control  update_ruleset.py  wazuh-modulesd
[Tue Sep 05 17:39:41] [root@ipfire-server]  /var/ossec/bin 
-> ./ossec-control start
Starting Wazuh v2.1.0 (maintained by Wazuh Inc.)...
Started wazuh-modulesd...
2017/09/05 17:39:49 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Logs sehen gut aus:

Code: Select all

-> cat alerts.log 
** Alert 1504626000.0: mail  - ossec,pci_dss_10.6.1,
2017 Sep 05 17:40:00 ipfire-server->ossec-monitord
Rule: 502 (level 3) -> 'Ossec server started.'
ossec: Ossec started.

** Alert 1504626422.174: - ossec,rootcheck,
2017 Sep 05 17:47:02 ipfire-server->rootcheck
Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).'
Trojaned version of file '/bin/grep' detected. Signature used: 'bash|givemer|/dev/' (Generic).
title: Trojaned version of file detected.
file: /bin/grep

** Alert 1504626436.491: - ossec,rootcheck,
2017 Sep 05 17:47:16 ipfire-server->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: PHP - Expose PHP is enabled. File: /etc/php.ini.
title: PHP - Expose PHP is enabled.

** Alert 1504626436.726: - ossec,rootcheck,
2017 Sep 05 17:47:16 ipfire-server->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: PHP - Allow URL fopen is enabled. File: /etc/php.ini.
title: PHP - Allow URL fopen is enabled.

** Alert 1504626436.971: - ossec,rootcheck,
2017 Sep 05 17:47:16 ipfire-server->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: SSH Hardening - 1: Port 22 {PCI_DSS: 2.2.4}. File: /etc/ssh/sshd_config. Reference: 1 .
title: SSH Hardening - 1: Port 22
file: /etc/ssh/sshd_config

** Alert 1504626436.1270: - ossec,rootcheck,
2017 Sep 05 17:47:16 ipfire-server->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: SSH Hardening - 3: Root can log in. File: /etc/ssh/sshd_config. Reference: 3 .
title: SSH Hardening - 3: Root can log in.
file: /etc/ssh/sshd_config

** Alert 1504626436.1570: - ossec,rootcheck,
2017 Sep 05 17:47:16 ipfire-server->rootcheck
Rule: 516 (level 3) -> 'System Audit event.'
System Audit: SSH Hardening - 5: Password Authentication {PCI_DSS: 2.2.4}. File: /etc/ssh/sshd_config. Reference: 5 .
title: SSH Hardening - 5: Password Authentication
file: /etc/ssh/sshd_config

...
Initskript hat er wie gewohnt selber reingepackt und macht derzeit auch was es soll:

Code: Select all

-> /etc/init.d/wazuh-local restart
Killing ossec-monitord .. 
Killing ossec-logcollector .. 
Killing ossec-syscheckd .. 
Killing ossec-analysisd .. 
ossec-maild not running ..
Killing ossec-execd .. 
Killing wazuh-modulesd .. 
Wazuh v2.1.0 Stopped
Starting Wazuh v2.1.0 (maintained by Wazuh Inc.)...
Started wazuh-modulesd...
2017/09/05 17:59:44 ossec-maild: INFO: E-Mail notification disabled. Clean Exit.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Directory heisst zwar /var/ossec sieht aber neu und anders aus :P , mal schauen was da noch alles drinne ist...
Erscheint mir gerade noch wie die bessere Hälfte von OSSEC.

OK warum nun Wazuh ? Zum mal kurz reinschauen --> https://www.youtube.com/watch?v=WpfpxRY3Ufk . Der ELK-Stack kommt da auch plötzlich auf.. ELK-Stack??? ach ja das war der hier --> https://forum.ipfire.org/viewtopic.php?f=50&t=19263 bzw. und und und...

Ein paar news mal von hier.

Grüssle,

UE

EDIT sagt: Agent, Server, Local werd ich auch noch mal schauen. Mach mir jetzt aber erstmal das Feierabendbier auf und geniess den Wolkenverhangenen Sommer 8) .
EDIT hat gerade nochmal angerufen :D :
gocart wrote:
September 5th, 2017, 3:42 pm
Fehlt da womöglich wieder eine GNU Funktion in der Glibc wie bei Unbound weil das von BSD kommt.?'!?
Der kommt nicht von BSD, war erst "Third Brigade Acquires" was dann aber von "Trend Micro" geschluckt worden ist --> https://en.wikipedia.org/wiki/OSSEC bzw. --> https://www.helpnetsecurity.com/2009/08 ... on-system/ ist auch ganz interesant.
gocart wrote:
September 5th, 2017, 3:42 pm
Der nachste Schraubenschlüssel wäre dann strace. Da habe ich bloße wieder keine Ahnung wie ich das in chroot benutzen soll.

Code: Select all

strace -e open */ossec*/src/ossec-control
?
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 5th, 2017, 5:38 pm

@UE war zu billig... Die Gruppe brauch Schreibrechte... :o

Code: Select all

# set directory rights
chown ossec:ossec -R /var/ossec
chmod -R 770 /var/ossec
Die Basis geht...

Morgen geht weiter, jetzt er mal Stammtisch... und gepimpt sieht auch spannend aus ! :o :o

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 6th, 2017, 9:50 am

Moin gocart,
so hab mal für 32 und 64 Bit Wazuh per binary installer gebaut --> http://people.ipfire.org/~ummeegge/Osse ... ire/wazuh/ und installiert. Es braucht dann doch make auf der Maschine wo installiert wird, bietet aber ja Pakfire an und kann danach auch wieder deinstalliert werden.
Installation lief gut durch.
Im Server 'manage_agents' angeschmissen, Client angelegt und Key extrahiert.
Im Client das selbe und den Key (in einer Zeile) reinkopiert. Beide mittels Initskript gestartet was so aussah:

Server:

Code: Select all

> tail -f ossec.log 
2017/09/06 10:15:40 ossec-execd: INFO: Started (pid: 17751).
2017/09/06 10:15:40 wazuh-modulesd: INFO: Process started.
2017/09/06 10:15:40 wazuh-modulesd:oscap: INFO: Module disabled. Exiting...
2017/09/06 10:15:40 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
2017/09/06 10:15:40 ossec-logcollector: ERROR: (1235): Invalid value for element 'log_format': snort.
2017/09/06 10:15:40 ossec-logcollector: ERROR: (1202): Configuration error at '/var/ossec/etc/ossec.conf'. Exiting.
2017/09/06 10:15:40 ossec-logcollector: CRITICAL: (1202): Configuration error at '/var/ossec/etc/ossec.conf'. Exiting.
2017/09/06 10:15:40 ossec-agentd: INFO: Version detected -> Linux ipfire-prime 3.14.79-ipfire #1 SMP Sat Jun 10 07:26:08 GMT 2017 x86_64 [Linux|linux: ] - Wazuh v2.1.0
2017/09/06 10:15:40 ossec-agentd: INFO: (1410): Reading authentication keys file.
2017/09/06 10:15:40 ossec-agentd: INFO: Started (pid: 17760).
2017/09/06 10:15:40 ossec-agentd: INFO: Server IP Address: 192.168.7.8
2017/09/06 10:15:40 ossec-agentd: INFO: Trying to connect to server (192.168.7.8:1514).
2017/09/06 10:15:41 ossec-agentd: INFO: (4102): Connected to the server (192.168.7.8:1514).
2017/09/06 10:17:05 wazuh-modulesd: INFO: Process started.
2017/09/06 10:17:05 wazuh-modulesd:oscap: INFO: Module disabled. Exiting...
2017/09/06 10:17:09 ossec-syscheckd: INFO: Started (pid: 17894).
2017/09/06 10:17:09 rootcheck: INFO: Started (pid: 17894).
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/etc', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/usr/bin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/usr/sbin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/bin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/sbin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Monitoring directory: '/boot', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/mtab'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/hosts.deny'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/mail/statistics'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/random-seed'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/random.seed'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/adjtime'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/httpd/logs'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/utmpx'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/wtmpx'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/cups/certs'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/dumpdates'
2017/09/06 10:17:09 ossec-syscheckd: INFO: Ignoring: '/etc/svc/volatile'
2017/09/06 10:17:09 ossec-syscheckd: INFO: No diff for file: '/etc/ssl/private.key'
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/httpd/error_log'.
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/httpd/access_log'.
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/ossec/logs/active-responses.log'.
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/snort/alert'.
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/messages'.
2017/09/06 10:17:11 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/squid/access.log'.
2017/09/06 10:17:11 ossec-logcollector: INFO: Monitoring output of command(360): df -P
2017/09/06 10:17:11 ossec-logcollector: INFO: Monitoring full output of command(360): netstat -tulpen | sort
2017/09/06 10:17:11 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 20
2017/09/06 10:17:11 ossec-logcollector: INFO: Started (pid: 17890).
2017/09/06 10:17:41 ossec-syscheckd: INFO: Syscheck scan frequency: 43200 seconds
2017/09/06 10:18:11 ossec-syscheckd: INFO: Starting syscheck scan (forwarding database).
2017/09/06 10:18:11 ossec-syscheckd: INFO: Starting syscheck database (pre-scan).
2017/09/06 10:21:58 ossec-syscheckd: INFO: Finished creating syscheck database (pre-scan completed).
2017/09/06 10:22:08 ossec-syscheckd: INFO: Ending syscheck scan (forwarding database).
- Client ist connected
ossec-agentd: INFO: (4102): Connected to the server (192.168.7.8:1514).
Status:

Code: Select all

-> /etc/init.d/wazuh-manager status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
wazuh-modulesd is running..
Client:

Code: Select all

-> tail -f ossec.log 
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0005-wazuh_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0010-active-response_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0015-aix-ipsec_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0020-amazon_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0025-apache_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0030-arpwatch_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0035-asterisk_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0040-auditd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0045-barracuda_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0050-checkpoint_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0055-cimserver_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0060-cisco-estreamer_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0065-cisco-ios_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0070-cisco-vpn_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0075-clamav_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0080-courier_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0085-dovecot_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0090-dragon-nids_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0095-dropbear_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0100-fortigate_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0105-freeipa_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0110-ftpd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0115-grandstream_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0120-horde_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0125-hp_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0130-imapd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0135-imperva_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0140-kernel_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0145-mailscanner_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0150-mysql_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0155-named_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0160-netscaler_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0165-netscreen_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0170-nginx_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0175-ntpd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0180-openbsd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0185-openldap_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0190-openvpn_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0195-oscap_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0200-ossec_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0205-pam_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0210-pix_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0215-portsentry_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0220-postfix_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0225-postgresql_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0230-proftpd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0235-puppet_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0240-pure-ftpd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0245-racoon_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0250-redis_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0255-roundcube_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0260-rsa-auth-manager_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0265-rshd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0270-samba_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0275-sendmail_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0280-serv-u_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0285-snort_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0290-solaris_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0295-sonicwall_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0300-sophos_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0305-squid_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0310-ssh_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0315-su_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0320-sudo_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0325-suhosin_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0330-symantec_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0335-telnet_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0340-trend-osce_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0345-unbound_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0350-unix_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0355-vm-pop3_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0360-vmware_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0365-vpopmail_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0370-vsftpd_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0375-web-accesslog_decoders.xml.
2017/09/06 10:15:23 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0380-windows_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0385-wordpress_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0390-zeus_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0395-sqlserver_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0400-identity_guard_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0405-mongodb_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0410-docker_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0415-jenkins_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file ruleset/decoders/0420-vshell_decoders.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading decoder file etc/decoders/local_decoder.xml.
2017/09/06 10:15:24 ossec-testrule: INFO: Reading the lists file: 'etc/lists/audit-keys'
2017/09/06 10:15:24 wazuh-modulesd: INFO: Process started.
2017/09/06 10:15:24 wazuh-modulesd:oscap: INFO: Module disabled. Exiting...
2017/09/06 10:15:24 wazuh-modulesd:database: INFO: Module started.
2017/09/06 10:15:24 ossec-execd: INFO: Started (pid: 15145).
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0005-wazuh_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0010-active-response_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0015-aix-ipsec_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0020-amazon_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0025-apache_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0030-arpwatch_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0035-asterisk_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0040-auditd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0045-barracuda_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0050-checkpoint_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0055-cimserver_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0060-cisco-estreamer_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0065-cisco-ios_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0070-cisco-vpn_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0075-clamav_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0080-courier_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0085-dovecot_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0090-dragon-nids_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0095-dropbear_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0100-fortigate_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0105-freeipa_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0110-ftpd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0115-grandstream_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0120-horde_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0125-hp_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0130-imapd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0135-imperva_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0140-kernel_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0145-mailscanner_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0150-mysql_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0155-named_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0160-netscaler_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0165-netscreen_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0170-nginx_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0175-ntpd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0180-openbsd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0185-openldap_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0190-openvpn_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0195-oscap_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0200-ossec_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0205-pam_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0210-pix_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0215-portsentry_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0220-postfix_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0225-postgresql_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0230-proftpd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0235-puppet_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0240-pure-ftpd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0245-racoon_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0250-redis_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0255-roundcube_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0260-rsa-auth-manager_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0265-rshd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0270-samba_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0275-sendmail_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0280-serv-u_decoders.xml.
2017/09/06 10:15:24 ossec-remoted: INFO: Started (pid: 15157).
2017/09/06 10:15:24 ossec-remoted: CRITICAL: (1501): No IP or network allowed in the access list for syslog. No reason for running it. Exiting.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0285-snort_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0290-solaris_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0295-sonicwall_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0300-sophos_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0305-squid_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0310-ssh_decoders.xml.
2017/09/06 10:15:24 ossec-remoted: INFO: Started (pid: 15160).
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0315-su_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0320-sudo_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0325-suhosin_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0330-symantec_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0335-telnet_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0340-trend-osce_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0345-unbound_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0350-unix_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0355-vm-pop3_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0360-vmware_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0365-vpopmail_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0370-vsftpd_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0375-web-accesslog_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0380-windows_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0385-wordpress_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0390-zeus_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0395-sqlserver_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0400-identity_guard_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0405-mongodb_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0410-docker_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0415-jenkins_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file ruleset/decoders/0420-vshell_decoders.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading decoder file etc/decoders/local_decoder.xml.
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading loading the lists file: 'etc/lists/audit-keys'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0010-rules_config.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0015-ossec_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0016-wazuh_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0020-syslog_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0025-sendmail_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0030-postfix_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0035-spamd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0040-imapd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0045-mailscanner_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0050-ms-exchange_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0055-courier_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0060-firewall_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0065-pix_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0070-netscreenfw_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0075-cisco-ios_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0080-sonicwall_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0085-pam_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0090-telnetd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0095-sshd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0100-solaris_bsm_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0105-asterisk_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0110-ms_dhcp_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0115-arpwatch_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0120-symantec-av_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0125-symantec-ws_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0130-trend-osce_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0135-hordeimp_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0140-roundcube_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0145-wordpress_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0150-cimserver_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0155-dovecot_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0160-vmpop3d_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0165-vpopmail_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0170-ftpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0175-proftpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0180-pure-ftpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0185-vsftpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0190-ms_ftpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0195-named_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0200-smbd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0205-racoon_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0210-vpn_concentrator_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0220-msauth_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0225-mcafee_av_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0230-ms-se_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0235-vmware_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0240-ids_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0245-web_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0250-apache_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0255-zeus_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0260-nginx_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0265-php_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0270-web_appsec_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0275-squid_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0280-attack_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0285-systemd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0290-firewalld_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0295-mysql_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0300-postgresql_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0305-dropbear_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0310-openbsd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0315-apparmor_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0320-clam_av_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0325-opensmtpd_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0330-sysmon_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0335-unbound_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0340-puppet_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0345-netscaler_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0350-amazon_rules.xml'
2017/09/06 10:15:24 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0355-amazon-ec2_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0360-serv-u_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0365-auditd_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0370-amazon-iam_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0375-usb_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0380-redis_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0385-oscap_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0390-fortigate_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0395-hp_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0400-openvpn_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0405-rsa-auth-manager_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0410-imperva_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0415-sophos_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0420-freeipa_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0425-cisco-estreamer_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0430-ms_wdefender_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0435-ms_logs_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0440-ms_sqlserver_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0445-identity_guard_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0450-mongodb_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0455-docker_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0460-jenkins_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0465-amazon-s3_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'ruleset/rules/0470-vshell_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Reading rules file: 'etc/rules/local_rules.xml'
2017/09/06 10:15:25 ossec-analysisd: INFO: Total rules enabled: '2195'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/mtab'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/hosts.deny'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/mail/statistics'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/random-seed'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/random.seed'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/adjtime'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/httpd/logs'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/utmpx'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/wtmpx'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/cups/certs'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/dumpdates'
2017/09/06 10:15:25 ossec-analysisd: INFO: Ignoring file: '/etc/svc/volatile'
2017/09/06 10:15:25 ossec-analysisd: INFO: Started (pid: 15149).
2017/09/06 10:15:25 ossec-remoted: INFO: (4111): Maximum number of agents allowed: '8000'.
2017/09/06 10:15:25 ossec-remoted: INFO: (1410): Reading authentication keys file.
2017/09/06 10:15:25 ossec-monitord: INFO: Started (pid: 15170).
2017/09/06 10:15:29 ossec-syscheckd: INFO: Started (pid: 15166).
2017/09/06 10:15:29 rootcheck: INFO: Started (pid: 15166).
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/etc', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/usr/bin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/usr/sbin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/bin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/sbin', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Monitoring directory: '/boot', with options perm | size | owner | group | md5sum | sha1sum | mtime | inode.
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/mtab'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/hosts.deny'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/mail/statistics'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/random-seed'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/random.seed'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/adjtime'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/httpd/logs'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/utmpx'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/wtmpx'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/cups/certs'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/dumpdates'
2017/09/06 10:15:29 ossec-syscheckd: INFO: Ignoring: '/etc/svc/volatile'
2017/09/06 10:15:29 ossec-syscheckd: INFO: No diff for file: '/etc/ssl/private.key'
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/httpd/error_log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/httpd/access_log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/nginx/access.log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/nginx/error.log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/ossec/logs/active-responses.log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/messages'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/radius/radius.log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: (1950): Analyzing file: '/var/log/squid/access.log'.
2017/09/06 10:15:30 ossec-logcollector: INFO: Monitoring output of command(360): df -P
2017/09/06 10:15:30 ossec-logcollector: INFO: Monitoring full output of command(360): netstat -tulpen | sort
2017/09/06 10:15:30 ossec-logcollector: INFO: Monitoring full output of command(360): last -n 20
2017/09/06 10:15:30 ossec-logcollector: INFO: Started (pid: 15153).
2017/09/06 10:16:01 ossec-syscheckd: INFO: Syscheck scan frequency: 43200 seconds
2017/09/06 10:16:31 ossec-syscheckd: INFO: Starting syscheck scan (forwarding database).
2017/09/06 10:16:31 ossec-syscheckd: INFO: Starting syscheck database (pre-scan).
Status:

Code: Select all

-> /etc/init.d/wazuh-agent status
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...
wazuh-modulesd not running...
Alles ohne IPv6 Patch.

- Es gab einen Critical

Code: Select all

ossec-remoted: CRITICAL: (1501): No IP or network allowed in the access list for syslog. No reason for running it. Exiting.
aber starten tut er.
- wazuh-modulesd ist beim Client nicht gestartet (muss ich nochmal schauen).
- Die ossec.conf auf dem Agent musst ich ergänzen da da Snort läuft und er muss wissen wie er einlesen soll (snort-fast oder snort-full), habe mal 'snort-full' genommen und nochmal durchgestartet was gut aussieht.
- Mails kommen an

Code: Select all


** Alert 1504677946.224487: - ids,
2017 Sep 06 08:05:46 ipfire-prime->/var/log/snort/alert
Rule: 20101 (level 6) -> 'IDS event.'
[**] [1:2003259:5] ET MALWARE SOCKSv5 DNS Inbound Request (Linux Source) [**]

<-- Mail ist nicht die OSSEC interne Lösung sondern meine.

Bin gerade dabei mal wegen dem OpenSCAP zu schauen (is alles Neuland und gibt´s beim regulären OSSEC nicht) --> https://static.open-scap.org/openscap-1 ... anual.html bzw. --> https://documentation.wazuh.com/2.0/use ... ation.html . So wie es aussieht brauchts dafür den OpenSCAP Scanner --> https://github.com/OpenSCAP/openscap/releases . Im chroot hat der auch schon gebaut... mal schauen wie es weiter geht.

Soweit mal von hier. Grüssle,

UE
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 6th, 2017, 10:37 am

Hallo UE,

habe mal die nicht funktionierenden Pakete wieder raus genommen. Und was wichtiger ist, so toll das Wazuh mit der Weboberfläche auch aussieht, schießen wir damit nicht mit Kanonen auf Spatzen? Eigentlich war das Ursprungsthema IP von Spamservern zu Blocken. Entweder per Script oder mit einer Software. In dem Moment hat sich OSSEC Angeboten. Die Local-Variante reicht dafür völlig aus! Ein Komplettes IDS-Netzwerkmanagement war gar nicht beabsichtigt. Ach wenn das "nice to have" ist. Und zu dem Extra Installer Script. Ich persönlich bevorzuge bei den Packages die Install.sh. Da muss alles für das Paket soweit fertig sein, um über Pakfire installiert werden zu können. Ein zusätzliches Manage-Script kann selbstverständlich gerne mit dabei sein aber von zusätzlichen make-Basteleien habe ich abgesehen. Also wie soll das Konzept mit OSSEC/Wazuh deiner Meinung aussehen? (mit de man dann auch Spamserver blocken kann) Wazuh bringt wieder natürlich wieder mehrere neues Daemons für das Webinterface mit und brauch ein DB-Backend...

ps. Natürlich willst du, dass deine Arbeit mit den Scripten nicht für umsonst war, das ist mit schon klar... Sorry, aber ehrlich gesagt habe ich keine Verwendung dafür. Mein Arbeitsstand ist derzeit die 2.9.2 als Server und nach install.sh aufgerufen ist alles gestartet. Fehlt nun noch die Anpassung an Postfix die dann aber nicht mehr Bestandteil der Grundinstallation ist.

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 6th, 2017, 11:25 am

Moin gocart,
gocart wrote:
September 6th, 2017, 10:37 am
Und was wichtiger ist, so toll das Wazuh mit der Weboberfläche auch aussieht, schießen wir damit nicht mit Kanonen auf Spatzen? Eigentlich war das Ursprungsthema IP von Spamservern zu Blocken. Entweder per Script oder mit einer Software. In dem Moment hat sich OSSEC Angeboten. Die Local-Variante reicht dafür völlig aus!
wenn ihr vor allem interesse am Postfix Monitoring mit Spamblocker via firewall DROP und individuellem/erweitertem Ruleset habt ist die alte 2.8 mehr wie ausreichend und auch schon eine Kanone da viel umfangreicher als Postfix only. Wazuh bzw. OSSEC braucht auch kein Webinterface sondern arbeitet regulär seine Sachen ab ob man das nun mittels schicken Grafiken sieht, seine Emails bekommt, OpenSCAP nutzt, etc. oder auch nicht spielt dabei keine Rolle. Es geht sozusagen alles auch einfacher, eure Postfix spezifischen XMLs müsst ihr euch halt bauen und selber beurteilen ob das für euch eine gangbare Art ist oder nicht dazu kann ich erstmal nichts sagen da mir das Anwendungsgebiet fehlt, prinzipiell soll es ja die Arbeit erleichtern und nicht komplexer machen als nötig.
gocart wrote:
September 6th, 2017, 10:37 am
Ein Komplettes IDS-Netzwerkmanagement war gar nicht beabsichtigt. Ach wenn das "nice to have" ist.
Das ist hier schon mein Plan weswegen ich da auch gerne weitermache mit :) .
gocart wrote:
September 6th, 2017, 10:37 am
Und zu dem Extra Installer Script. Ich persönlich bevorzuge bei den Packages die Install.sh. Da muss alles für das Paket soweit fertig sein, um über Pakfire installiert werden zu können.
Im Prinzip macht der hier angebotene Installer ja genau das (und ein wenig mehr), der Witz bei dem Installer ist das die meisten Leute halt keine Buildumgebung haben, ich schon weswegen ich da halt das Paket anbieten kann und wenn man das anbieten kann wieso denn nicht nett anbieten somal ich das auch immer mal wieder verwende bei neuen Maschinen was mir auch ein wenig Arbeit spart. Deinstallieren sollte man es eben auch schnell können und das kann der In- Uninstaller auch, sozusagen ein Testingpaket fällt hierbei auch noch raus.
Wegen Pakfire wird das schon schwieriger da Pakfire nicht nur über die Konsole sondern auch über das WUI geht und da wird es schwierig mit der install.sh da keine Interaktion (Installationsroutine+Konfiguration) mit der Konsole über das WUI geht.
gocart wrote:
September 6th, 2017, 10:37 am
Ein zusätzliches Manage-Script kann selbstverständlich gerne mit dabei sein aber von zusätzlichen make-Basteleien habe ich abgesehen.
Das seh ich anders, entweder ein "Manage-Script", eine CGI oder alles manuell machen was kein Spass machen wird. "make-Basteleien" hatte ich bis jetzt keine ? Weiss gerade auch nicht was du meinst, Patchen musst ich bei Wazuh jetzt erstmal nichts...
gocart wrote:
September 6th, 2017, 10:37 am
Also wie soll das Konzept mit OSSEC/Wazuh deiner Meinung aussehen? (mit de man dann auch Spamserver blocken kann)
Hab ich oben kurz geschrieben. Prinzipiell brauchts das alles nicht,
. Server Client Anbindung ? Warum, wenn alles über einen Mailproxy geht ? Local ist dann genug, bei mehreren Mailproxies geht auch Lokal macht aber eine Server/Client Struktur auch Sinn.
- Webinterface ? Warum, brauchts auch nicht wenn er nur IP dynamisch für einen gewissen Zeitraum blocken soll euch aber die zyklen, intensität, lokalität, etc. historisch nicht interessieren.
- Email ? Warum, ist nett zeitnah zu wissen wann und ob was passiert ist muss aber theoretisch auch nicht sein.
- DB ? Warum, steht eigentlich alles in den Logs.
- Hab ich was vergessen ?
...
gocart wrote:
September 6th, 2017, 10:37 am
Wazuh bringt wieder natürlich wieder mehrere neues Daemons für das Webinterface mit und brauch ein DB-Backend...
Ja der bringt einiges mehr mit was für euch aber schätz ich nicht primär im Fokus steht. Für´s Webinterface also der Elastic-Stack wird keine DB verwendet, der arbeitet mit nem Index.
gocart wrote:
September 6th, 2017, 10:37 am
ps. Natürlich willst du, dass deine Arbeit mit den Scripten nicht für umsonst war, das ist mit schon klar... Sorry, aber ehrlich gesagt habe ich keine Verwendung dafür
Du ganz ehrlich, ist mir Banane ob die verwendet werden oder nicht, ich verwende sie das war der Grund warum ich sie geschrieben hatte. Wenn jemand interesse daran hat (und das gab´s schon wie ich das sehe) kann er sie gerne verwenden/erweitern und das war´s auch, freu mich wenn ihr andere Wege findet und das mitteilt, kann ich und andere eben wieder vielleicht auch partizipieren. Nebenbei, 95% von dem was wir hier jetzt besprochen haben hat mit meinen Skripten auch nichts zu tun sondern war vor allem Installation und die neue Version zum laufen zu bekommen was hier (siehe letzter Beitrag) über Wazuh auch hingehauen hat.
gocart wrote:
September 6th, 2017, 10:37 am
Mein Arbeitsstand ist derzeit die 2.9.2 als Server und nach install.sh aufgerufen ist alles gestartet. Fehlt nun noch die Anpassung an Postfix die dann aber nicht mehr Bestandteil der Grundinstallation ist.
OK, mein Arbeitsstand ist erstmal Wazuh weiter auszuchecken und den Elastic-Stack da ranzubauen.

Grüssle,

UE
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 6th, 2017, 3:40 pm

@UE
OK, mein Arbeitsstand ist erstmal Wazuh weiter auszuchecken und den Elastic-Stack da ranzubauen
Das der Elastic-Stack da das eigentliche Highlight ist habe ich schon verstanden. Wenn das IPFire sich zu einem Anwendungs / IDS-Server mit vollständiger Verwaltungsoberfläche entwickelt ist das die logische Konsequenz. Nichts anderes ist auch meine Mailserver-Bastelei. Damit betrachte ich IPFire auch nicht als einfache Firewall. Schon lange nicht mehr, sondern als Anwendungsmaschine wo alles wichtigen Server-OS Features gleich mit dabei sind...
eure Postfix spezifischen XMLs müsst ihr euch halt bauen
Die postfix.xml ist schon mit bei. Nur die Active Response Regeln müssten noch gebaut werden wenn ich das richtig verstanden habe.
Wegen Pakfire wird das schon schwieriger da Pakfire nicht nur über die Konsole sondern auch über das WUI geht und da wird es schwierig mit der install.sh da keine Interaktion (Installationsroutine+Konfiguration) mit der Konsole über das WUI geht.
Genau das sehe ich als konzeptionelles Problem. Mein bescheidener Gedanke war halt ein Manage oder Configure Script was das umgeht und nach der klassischen Installation aufgerufen werden kann. Aber es ist dein Projekt und da kannst du machen was du willst. Kannst gern meine LFS /Root und install.sh Files haben.

Ich persönlich neige dazu mich auf die das originale ossec 2.9.2 zu beschränken und dessen Installation so weit wie möglich zu automatisieren. Die üblichen verdächtigen IPfire-Logs /Addon Logs sind ja soweit bekannt. Mich mit dem nächsten Wazuh Projekt zu verzetteln sehe ich jetzt erst mal keine Notwenigkeit. Das hat mich mich auch ein wenig irritiert muss ich gestehen. Wir hatten der Ossec kaum richtig am gehen hast du schon die nächste Sau durchs Dorf getrieben... ??? Mir ging es auch eigentlich nicht darum was alles nicht gebraucht wird sondern wie ein sinnvolles Medium-durchgebraten (Funktionsumfang) Paket aussehen könnte.

ps. Danke für deine Unterstützung und die vielen Links zu lesen... :)
Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 7th, 2017, 8:28 am

Moin gocart,
gocart wrote:
September 6th, 2017, 3:40 pm
Das der Elastic-Stack da das eigentliche Highlight ist habe ich schon verstanden.
eigentlich war für mich das erste und erstmal auch das wichtigste Highlight das dass neue OSSEC in der erweiterten Version (verkleidet als Wazuh) egal ob als agent|server|hybrid läuft und das ohne IPv6 Patch was auch der Grund war das mal so auszuprobieren und wieder in´s OSSEC bauen einzusteigen bzw. nachzuvollziehen ob deine Fehler/Frickeleien bei mir in dieser Version auch auftaucht.
gocart wrote:
September 6th, 2017, 3:40 pm
Wenn das IPFire sich zu einem Anwendungs / IDS-Server mit vollständiger Verwaltungsoberfläche entwickelt ist das die logische Konsequenz. Nichts anderes ist auch meine Mailserver-Bastelei
In der Tat, das kann es nach und nach werden, dennoch sind diese Optionen neu und waren noch nicht (werd ich denke ich mal ändern) Bestandteil in diesem Topic. Die Erweiterungen die ich bis jetzt sehe sind ein, ich würde sagen, gewaltiger Schritt nach vorne, links und rechts (vielleicht auch der ein oder andere zurück) kurzum, da ist noch einiges zu tun um das alles zu übersehen und noch länger um das mal anzubieten (mit dem Elastic-Stack werd ich hier auch nicht weitermachen {vielleicht;}, Wazuh alleine sollte da schon langen).
gocart wrote:
September 6th, 2017, 3:40 pm
Nichts anderes ist auch meine Mailserver-Bastelei. Damit betrachte ich IPFire auch nicht als einfache Firewall. Schon lange nicht mehr, sondern als Anwendungsmaschine wo alles wichtigen Server-OS Features gleich mit dabei sind
Den hatten wir schonmal, IPFire ist eben alles mögliche wenn man will auch nur eine Firewall+Router, LFS und auch Pakfire machen aber die Türen auf und lässt das alles eben auch zu, ein Grund warum ich diese Distri gerne mag.
gocart wrote:
September 6th, 2017, 3:40 pm
Die postfix.xml ist schon mit bei. Nur die Active Response Regeln müssten noch gebaut werden wenn ich das richtig verstanden habe.
Bin mal gespannt was ihr da noch raus bekommt...
gocart wrote:
September 6th, 2017, 3:40 pm
Genau das sehe ich als konzeptionelles Problem. Mein bescheidener Gedanke war halt ein Manage oder Configure Script was das umgeht und nach der klassischen Installation aufgerufen werden kann.
Genau das war der Grund warum ich das mal angefangen hatte, Link hatte ich gepostet ohne dafür Werbung machen zu wollen damit die Arbeit dafür nicht umsonst war ;) , wäre doch aber nett, dachte ich mir, wenn das Rad nicht wieder neuerfunden werden müsste ist mir aber auch nicht wichtig da hier das meiste eh über den Un- Installer angeboten wird, ist halt nicht Pakfire kompatibel muss es aber auch erstmal nicht.
gocart wrote:
September 6th, 2017, 3:40 pm
Aber es ist dein Projekt und da kannst du machen was du willst. Kannst gern meine LFS /Root und install.sh Files haben.
Ich würde sagen das dass alles hier ein Community Projekt ist und ich freu mich wenn andere daran Teil nehmen|ergänzen|mitentwickeln . Lad deine Files doch mal hoch (Github?) ich schau da dann mal drüber.
gocart wrote:
September 6th, 2017, 3:40 pm
Ich persönlich neige dazu mich auf die das originale ossec 2.9.2 zu beschränken und dessen Installation so weit wie möglich zu automatisieren.
Hört sich interessant an, bei mir splittet sich das hier erstmal und ich schaue mal wegen den ganzen Erweiterungen weiter, mit OSSEC alleine hab ich schon eine ganze Weile zutun bin gerade eher an den Erweiterungen vor allem interessiert.
gocart wrote:
September 6th, 2017, 3:40 pm
Die üblichen verdächtigen IPfire-Logs /Addon Logs sind ja soweit bekannt.
Jup
gocart wrote:
September 6th, 2017, 3:40 pm
Mich mit dem nächsten Wazuh Projekt zu verzetteln sehe ich jetzt erst mal keine Notwenigkeit.
Ist wie oben schon geschrieben für euer Vorhaben auch absolut nicht notwendig, vor allem wenn die 2.9.2 wie die 2.8er läuft... Mit Patch oder ohne ???
gocart wrote:
September 6th, 2017, 3:40 pm
Das hat mich mich auch ein wenig irritiert muss ich gestehen. Wir hatten der Ossec kaum richtig am gehen hast du schon die nächste Sau durchs Dorf getrieben... ???
Oh und ich dachte ich hätte das ausführlich erklärt :D , die eigentlich Sau hab ich vor ein paar Jahren durch´s Dorf getrieben (2011 ging das hier los :o ) die war seit dem eigentlich fast ganz still in ihrer Ecke gesessen, allerdings ist dein 2.9er Dev Kram da schon eine willkommene neue Sau gewesen wo ich gerne aufgestiegen bin ;) , ich hoffe es sind nicht alle Klarheiten beseitigt.
gocart wrote:
September 6th, 2017, 3:40 pm
Mir ging es auch eigentlich nicht darum was alles nicht gebraucht wird sondern wie ein sinnvolles Medium-durchgebraten (Funktionsumfang) Paket aussehen könnte.
und wie sind deine Erkenntnisse ?
gocart wrote:
September 6th, 2017, 3:40 pm
ps. Danke für deine Unterstützung und die vielen Links zu lesen... :)
Mach ich doch gerne, weisst du doch :) .

Grüssle,

UE
Image
Image

User avatar
gocart
Posts: 559
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by gocart » September 9th, 2017, 8:40 am

Hallo,
bin am am schauen mit OSSEC 2.9.2 wegen den Regeln bzw. Decodern. Die mitgefieferten Decoder für Postfix sind leider sehr rudimentär und decken nur 2 Meldungen ab. Open Relay Test und Kein Platz mehr auf der platte und mehr nicht. In den Regeln (/var/ossec/rules/postfix_rules.xml) ist zwar noch ein bisschen mehr aber für tausende Meldungen wie:

Code: Select all

Sep  8 02:00:33 proxy postfix/smtpd[20875]: lost connection after AUTH from unknown[43.250.126.131]
habe ich nicht so wirklich was gefunden. Also bleibt nur wieder sich mit dem Uhrschleim auseinander zu setzen und selbst was zu bauen. :( Eignene Decoder (die analysieren das Log mit Regex ) sind in der /var/ossec/etc/local_decoder.xml anzulegen und eigene Rules in der /var/ossec/rules/local_rules.xml. Das kann man dann mit /var/ossec/bin/ossec-logtest auch gleich live testen. Muss aber nach jeder Änderung das logtest Binary neu starten.

Ein Paar Links dazu:
http://ossec-docs.readthedocs.io/en/lat ... ustom.html
http://ossec-docs.readthedocs.io/en/lat ... l#os-match
http://ossec-docs.readthedocs.io/en/lat ... sting.html

Für Postfix wird es schon wieder spannend da sich die vorhanden Decoder in gewisser weise vordrängen. Es gibt einen Pre-Decoder in der decoder.xml der so aussieht:

Code: Select all

<decoder name="postfix">
  <program_name>^postfix</program_name>
</decoder>
der filtert alle postfix Zeilen aus dem mail-Logfile raus und an den muss man sich dran hängen sonst wird nix. Nach eineigen Versuchen hatte ich denn einen Decoder, der dran hängt und die "srcip" (Quellen / Source IP) aus dem oben geposteten Log-Eintrag extrahiert. Die brauch man später in den Rules für die "sameip" Definition.

Code: Select all

<decoder name="postfix-lostconn">
  <use_own_name>true</use_own_name>
  <parent>postfix</parent>
  <prematch>^lost connection after AUTH</prematch>
  <regex>unknown[(\S+)]</regex>
  <order>srcip</order>
</decoder>
Aber leider wird die srcip nicht sauber decodiert. Das ergebins sieht von ossec-logtest so aus:

Code: Select all

**Phase 1: Completed pre-decoding.
       full event: 'Sep  8 02:00:33 proxy postfix/smtpd[20875]: lost connection after AUTH from unknown[43.250.126.131]'
       hostname: 'proxy'
       program_name: 'postfix/smtpd'
       log: 'lost connection after AUTH from unknown[43.250.126.131]'

**Phase 2: Completed decoding.
       decoder: 'postfix'
       srcip: '43.250.126.131]'
Das Problem ist die "]" nach der IP. Der Effekt tritt auf wenn nach der ] ein Line Feed kommt und kein Leerzeichen bzw. irgendwas anderes. Habe verschiedene Sachen probiert, leider ohne Erfolg. Bin an der Stelle erst mal wieder an einem toten Punkt. Das "(\S+)" definiert die IP zwischen [ und ]. Sobald ich ein Leereichen hinter das ] mache ist alles schön. Sieht mir nach einen Decoder Bug aus.

@UE die 2.9.2 geht nur mit IPv6 Patch.

Grüße, gocart

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: OSSEC - HIDS mit active response, Logmanagment und e-mail Benachrichtigung

Post by ummeegge » September 9th, 2017, 4:48 pm

Hallo gocart,
gocart wrote:
September 9th, 2017, 8:40 am
Das Problem ist die "]" nach der IP. Der Effekt tritt auf wenn nach der ] ein Line Feed kommt und kein Leerzeichen bzw. irgendwas anderes. Habe verschiedene Sachen probiert, leider ohne Erfolg. Bin an der Stelle erst mal wieder an einem toten Punkt. Das "(\S+)" definiert die IP zwischen [ und ]. Sobald ich ein Leereichen hinter das ] mache ist alles schön. Sieht mir nach einen Decoder Bug aus.
wie wäre es hiermit

Code: Select all

<decoder name="postfix-lostconn">
  <use_own_name>true</use_own_name>
  <parent>postfix</parent>
  <prematch>^lost connection after AUTH </prematch>
  <regex>unknown[(\d+.\d+.\d+.\d+)]</regex>
  <order>srcip</order>
</decoder>
bzw. mit oder ohne Leerzeichen links und oder rechts von der IP

Code: Select all

<regex>unknown[\s*(\d+.\d+.\d+.\d+)\s*]</regex>
? Info Quelle für OSSECs regex ist hier --> http://ossec-docs.readthedocs.io/en/lat ... regex.html zu finden.
gocart wrote:
September 9th, 2017, 8:40 am
@UE die 2.9.2 geht nur mit IPv6 Patch.
Alles klar weiss ich bescheid.

Grüsse,

UE
Image
Image

Post Reply