J'ai installé la dernière version stable de OSSEC (2.8.1), et j'ai également activé les notifications par courrier électronique et aujourd'hui, j'ai reçu cette alerte par courrier électronique:
OSSEC HIDS Notification.
2015 Apr 03 17:40:26
Received From: Bath-Towel->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Trojaned version of file '/bin/egrep' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh' (Generic).
--END OF NOTIFICATION
Est-ce quelque chose à craindre, et si oui, que dois-je faire?
Mise à jour des informations:
Voici le contenu du fichier /bin/egrep
:
#!/bin/bash
grep=grep
case $0 in
*/*)
dir=${0%/*}
if test -x "$dir/grep"; then
PATH=$dir:$PATH
grep=grep
fi;;
esac
exec $grep -E "$@"
Informations sur le système d'exploitation:
Description: Ubuntu 14.10
Release: 14.10
J'ai OSSEC installé sur certains serveurs 14.04, mais je n'ai jamais reçu une telle notification.
Il s'avère que jusqu'à Ubuntu 14.04 /bin/egrep
est un exécutable ELF , mais en 14.10 et versions ultérieures, il s'agit d'un script Shell. Probablement OSSEC n'a pas encore été mis à jour pour refléter ce changement.