Предупреждение OSSEC HIDS: Правило: 1003 запущено (уровень 13) -> "Нестандартное сообщение системного журнала (слишком большой размер)".

Question

Предупреждение OSSEC HIDS: Правило: 1003 запущено (уровень 13) -> "Нестандартное сообщение системного журнала (слишком большой размер)".

Я использую последнюю стабильную версию OSSEC HIDS (2.8.1), и недавно я получил уведомление по электронной почте (поскольку я их включил), в котором говорится следующее:

OSSEC HIDS Уведомление. 2015 Apr 20 11:23:04
Получено от: Bath-Towel->/var/log/syslog Правило: 1003 запущено (уровень 13) -> "Нестандартное сообщение системного журнала (слишком большой размер)". Часть журнала (ов):
20 апреля 11:23:03 Ванна-Полотенце ядро: [ 5864.618792] Модули связаны: nfnetlink_queue nfnetlink_log nfnetlink BNEP RFCOMM Bluetooth 6lowpan_iphc uvcvideo videobuf2_vmalloc videobuf2_memops videobuf2_core v4l2_common videodev keucr(C) СМИ xt_hl ip6t_rt nf_conntrack_ipv6 nf_defrag_ipv6 ip6t_REJECT xt_LOG xt_limit xt_tcpudp xt_addrtype nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack ipt_REJECT ARC4 ip6table_filter ip6_tables brcmsmac nf_conntrack_netbios_ns nf_conntrack_broadcast nf_nat_ftp CORDIC nf_nat brcmutil nf_conntrack_ftp b43 nf_conntrack iptable_filter mac80211 ip_tables x_tables snd_hda_codec_hdmi snd_hda_codec_realtek snd_hda_codec_generic cfg80211 ОБП intel_rapl x86_pkg_temp_thermal intel_powerclamp CoreTemp kvm_intel квм crct10dif_pclmul crc32_pclmul ghash_clmulni_intel cryptd snd_hda_intel snd_hda_controller snd_hda_codec ВСМА joydev snd_hwdep serio_raw thinkpad_acpi NVRAM snd_pcm snd_seq_midi lpc_ich shpchp snd_seq_midi_event mei_me snd_rawmidi мэй i915 (OE) drm_kms_helper (OE) drm (OE) i2c_algo_bit snd_seq wmi snd_seq_device snd_timer parport_pc snd ppdev soundcore lp parport binfmt_misc video mac_hid uas ahci usb_storage psmouse r8169 libahci mii
--END УВЕДОМЛЕНИЯ

Это внезапно появилось на ровном месте, и я не вижу очевидной причины, по которой я внезапно получил бы предупреждение, подобное этому (я не делал ничего в то время, которое вносило какие-либо серьезные изменения в мою систему, фактически я ничего не делал на все, кроме чтения доверенной страницы в Интернете).

Я рассмотрел, что означает предупреждение уровня 13, и в соответствии с этой страницей оно означает:

13 - Unusual error (high importance) - Most of the times it matches a common attack pattern.

Так что теперь я весьма обеспокоен, я также не знаю, что на самом деле означает предупреждение (то, которое мне отправили), поэтому я не знаю, нападение это или что-то еще. Поэтому на самом деле я думаю, что мой вопрос теперь очевиден, что это значит, стоит ли о чем-то беспокоиться, и если да, то каково рекомендуемое действие?

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

1

ossec

Источник

20 апр '15 в 10:37

2 ответа

Решение

Как сказал Эрик, уровень оповещения - это всего лишь классификация, и он не дает вам почти информации, которую вам нужно знать, чтобы определить, стоит ли беспокоиться или нет. Например, кто-то, первоначально пытающийся взломать учетную запись через ssh, будет отображаться как предупреждение уровня 3, даже если это может привести к чему-то более серьезному. Текст, следующий за уровнем оповещения, гораздо интереснее.

Нестандартное сообщение системного журнала (слишком большой размер).

Вот собственно правило:

<rule id="1003" level="13" maxsize="1025"> <description>Non standard syslog message (size too large).</description> </rule>

Строка в вашем лог-файле превышает 1025 символов. В вашем случае это не похоже на проблему безопасности. Если вы получаете много из них, вы можете отредактировать свои файлы конфигурации, чтобы отфильтровать их. Проблема с длинными сообщениями, отправляемыми в ваши файлы журналов, заключается в том, что это может указывать на то, что кто-то пытается предпринять попытку переполнения буфера, пытаясь запросить или отправить чрезмерно длинный URL-адрес на веб-сервер. Так что все дело в контексте.

2

Источник

Rick Chatham 13 май '15 в 19:30

Другие вопросы по тегам ossec

Eric Carvalho 20 апр '15 в 13:29 2015-04-20 13:29 · Accepted Answer · 2015-04-20 13:29

Вы должны помнить, что OSSEC не достаточно умен, чтобы точно сказать, что происходит, основываясь только на тексте зарегистрированных сообщений. Вы должны проанализировать сообщение журнала самостоятельно, чтобы выяснить его причину.

В полученном вами уведомлении говорится, что OSSEC обнаружил "нестандартное сообщение системного журнала" из-за "слишком большого размера" в /var/log/syslog, Я не могу сказать, что делает большое сообщение в системном журнале каким-то образом связанным с "общей схемой атаки", но мне было бы все равно; OSSEC генерирует много ложных срабатываний. Что вы должны сделать, это выяснить, что означает сообщение, сгенерировавшее уведомление.

К счастью, я уже видел такого рода сообщения. "Связанные модули:", за которым следует список модулей ядра, обычно происходят, когда что-то, связанное с ядром, идет не так и генерируется трассировка вызова. Я нашел это в моем системном журнале:

Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494210] ------------[ cut here ]------------
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494257] WARNING: CPU: 0 PID: 0 at /build/buildd/linux-3.19.0/drivers/gpu/drm/i915/intel_display.c:9713 intel_check_page_flip+0xda/0xf0 [i915]()
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494259] Kicking stuck page flip: queued at 2514658, now 2514665
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494260] Modules linked in: ctr ccm rndis_host cdc_ether usbnet mii uas usb_storage nls_utf8 btrfs xor raid6_pq ufs qnx4 hfsplus hfs minix ntfs msdos jfs xfs libcrc32c cpuid pci_stub vboxpci(OE) vboxnetadp(OE) vboxnetflt(OE) vboxdrv(OE) binfmt_misc snd_hda_codec_hdmi i915 arc4 uvcvideo iwlmvm mac80211 videobuf2_vmalloc btusb intel_rapl videobuf2_memops iwlwifi iosf_mbi bluetooth x86_pkg_temp_thermal videobuf2_core intel_powerclamp v4l2_common videodev snd_hda_codec_realtek media snd_hda_codec_generic cfg80211 snd_hda_intel snd_hda_controller kvm_intel snd_hda_codec kvm snd_hwdep snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul ghash_clmulni_intel snd_seq snd_seq_device dell_laptop snd_timer dell_wmi dcdbas snd aesni_intel aes_x86_64 soundcore sparse_keymap i8k lrw gf128mul drm_kms_helper glue_helper ablk_helper cryptd joydev 8250_fintek serio_raw shpchp drm mei_me dell_smo8800 wmi mei i2c_algo_bit lpc_ich video mac_hid coretemp parport_pc ppdev lp parport autofs4 e1000e ptp pps_core ahci psmouse sdhci_pci libahci sdhci
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494340] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G           OE  3.19.0-14-generic #14-Ubuntu
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494341] Hardware name: Dell Inc. Latitude E5440/078YP3, BIOS A10 12/18/2014
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494343]  ffffffffc0a9fe10 ffff88011ea03d28 ffffffff817c2205 0000000000000007
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494345]  ffff88011ea03d78 ffff88011ea03d68 ffffffff8107595a ffff88011ea03d88
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494348]  ffff880118f19000 ffff8800d97b8800 0000000000000000 ffff8800d97b89a8
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494351] Call Trace:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494353]  <IRQ>  [<ffffffff817c2205>] dump_stack+0x45/0x57
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494370]  [<ffffffff8107595a>] warn_slowpath_common+0x8a/0xc0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494372]  [<ffffffff810759d6>] warn_slowpath_fmt+0x46/0x50
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494390]  [<ffffffffc0a4ba3a>] intel_check_page_flip+0xda/0xf0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494411]  [<ffffffffc0a18948>] ironlake_irq_handler+0x2e8/0xfd0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494416]  [<ffffffff813bd824>] ? timerqueue_del+0x24/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494421]  [<ffffffff810956ff>] ? notifier_call_chain+0x4f/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494425]  [<ffffffff810cd5f7>] handle_irq_event_percpu+0x77/0x1a0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494428]  [<ffffffff810cd761>] handle_irq_event+0x41/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494432]  [<ffffffff810d07ce>] handle_edge_irq+0x6e/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494435]  [<ffffffff81017772>] handle_irq+0x22/0x40
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494438]  [<ffffffff817cc27f>] do_IRQ+0x4f/0xf0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494448]  [<ffffffff817ca0ed>] common_interrupt+0x6d/0x6d
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494449]  <EOI>  [<ffffffff816643d5>] ? cpuidle_enter_state+0x65/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494453]  [<ffffffff816643c1>] ? cpuidle_enter_state+0x51/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494456]  [<ffffffff816645b7>] cpuidle_enter+0x17/0x20
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494459]  [<ffffffff810b6a41>] cpu_startup_entry+0x311/0x3b0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494463]  [<ffffffff817b6ad7>] rest_init+0x77/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494466]  [<ffffffff81d4cfce>] start_kernel+0x482/0x48f
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494469]  [<ffffffff81d4c120>] ? early_idt_handlers+0x120/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494472]  [<ffffffff81d4c4d7>] x86_64_start_reservations+0x2a/0x2c
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494474]  [<ffffffff81d4c61c>] x86_64_start_kernel+0x143/0x152
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494476] ---[ end trace 0b755d956a43fb36 ]---

Как вы можете видеть во второй строке, эта цепочка сообщений была вызвана (предупреждением) моего драйвера графического процессора. Я не могу вспомнить ничего необычного тогда. Поскольку моя система не зависала, я думаю, что все в порядке.

Вы должны искать "вырезать здесь" и "конец трассировки" в ваших журналах, чтобы выяснить, что вызвало это сообщение.