web-dev-qa-db-fra.com

Alerte OSSEC HIDS: Règle: 1003 déclenchés (niveau 13) -> "Message syslog non standard (taille trop grande)."

J'utilise la dernière version stable de OSSEC HIDS (2.8.1), et j'ai récemment reçu une notification par courrier électronique (car je les ai activés) disant ceci:

Notification OSSEC HIDS. 20 avr. 2015 11:23:04

Received From: Bath-Towel -> Règle:/var/log/syslog Règle: 1003 renvoyés (niveau 13) -> "Message syslog non standard (taille trop grande)." Partie du journal (s):

20 avril 11:23:03 noyau bain-serviettes: [] 5864.618792 modules liés à: nfnetlink_queue nfnetlink_log nfnetlink bnep rfcomm bluetooth 6lowpan_iphc uvcvideo videobuf2_vmalloc videobuf2_memops videobuf2_core v4l2_common videodev keucr (C) médias xt_hl ip6t_rt nf_conntrack_ipv6 nf_defrag_ipv6 ip6t_REJECT xt_LOG xt_limit xt_tcpudp xt_addrtype nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack ipt_REJECT arc4 ip6table_filter ip6_tables brcmsmac nf_conntrack_netbios_ns nf_conntrack_broadcast nf_nat_ftp CORDIC nf_nat brcmutil nf_conntrack_ftp b43 nf_conntrack iptable_filter mac80211 ip_tables x_tables snd_hda_codec_hdmi snd_hda_codec_realtek snd_hda_codec_generic cfg80211 ssb intel_rapl x86_pkg_temp_thermal intel_powerclamp coretemp kvm_intel kvm crct10dif_pclmul crc32_pclmul ghash_clmulni_intel cryptd snd_hda_intel snd_hda_controller snd_hda_codec BCMA joydev snd_hwdep serio_raw thinkpad_acpi NVRAM snd_pcm snd_seq_midi lpc_ich shpchp snd_seq_midi_event mei_me snd_rawmidi mei i915 Drm_kms_helper (OE ) drm (OE) i2c_algo_bit snd_seq wmi snd_seq_device snd_timer parport_pc snd ppdev soundcore lp parport binfmt_misc vidéo mac_hid uas ahci usb_storage psmouse r8169 libahci mii

--END DE NOTIFICATION

Cela est apparu soudainement et je n’ai trouvé aucune raison évidente d’avoir soudainement une alerte comme celle-ci (à ce moment-là, je ne faisais rien qui apportait des modifications majeures à mon système, mais en fait je ne faisais rien. du tout que de lire une page de confiance sur le Web).

J'ai examiné la signification d'une alerte de niveau 13, et selon cette page , cela signifie:

13 - Unusual error (high importance) - Most of the times it matches a common attack pattern.

Alors maintenant, je suis plutôt inquiet, je ne sais pas non plus ce que signifie réellement l'alerte (celle qui m'a été envoyée), alors je ne sais pas s'il s'agit d'une attaque ou de quelque chose d'autre. Donc, vraiment, je pense que ma question est maintenant évidente: qu'est-ce que cela signifie, faut-il s'en inquiéter et, dans l'affirmative, quelle est l'action recommandée?

Informations sur le système d'exploitation: 

Description:    Ubuntu 14.10
Release:    14.10
ossec
1
user364819

Vous devez garder à l’esprit que OSSEC n’est pas assez intelligent pour dire précisément ce qui se passe en se basant uniquement sur le texte des messages enregistrés. Vous devez analyser le message de journal vous-même pour en déterminer la cause.

La notification que vous avez reçue indique que OSSEC a trouvé un "message syslog non standard" en raison d'une "taille trop grande" dans /var/log/syslog. Je ne peux pas dire ce qui fait qu'un gros message dans syslog est en quelque sorte lié à "un type d'attaque commun", mais cela ne me dérangerait pas; OSSEC génère beaucoup de faux positifs. Ce que vous devez faire est de rechercher ce que le message qui a généré la notification signifie.

Heureusement, j'ai déjà vu ce genre de message. "Les modules liés dans:", suivis d'une liste de modules du noyau, surviennent généralement lorsqu'un problème lié au noyau a mal tourné et qu'une trace d'appel est générée. J'ai trouvé ceci sur mon syslog:

Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494210] ------------[ cut here ]------------
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494257] WARNING: CPU: 0 PID: 0 at /build/buildd/linux-3.19.0/drivers/gpu/drm/i915/intel_display.c:9713 intel_check_page_flip+0xda/0xf0 [i915]()
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494259] Kicking stuck page flip: queued at 2514658, now 2514665
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494260] Modules linked in: ctr ccm rndis_Host cdc_ether usbnet mii uas usb_storage nls_utf8 btrfs xor raid6_pq ufs qnx4 hfsplus hfs minix ntfs msdos jfs xfs libcrc32c cpuid pci_stub vboxpci(OE) vboxnetadp(OE) vboxnetflt(OE) vboxdrv(OE) binfmt_misc snd_hda_codec_hdmi i915 arc4 uvcvideo iwlmvm mac80211 videobuf2_vmalloc btusb intel_rapl videobuf2_memops iwlwifi iosf_mbi bluetooth x86_pkg_temp_thermal videobuf2_core intel_powerclamp v4l2_common videodev snd_hda_codec_realtek media snd_hda_codec_generic cfg80211 snd_hda_intel snd_hda_controller kvm_intel snd_hda_codec kvm snd_hwdep snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul ghash_clmulni_intel snd_seq snd_seq_device Dell_laptop snd_timer Dell_wmi dcdbas snd aesni_intel aes_x86_64 soundcore sparse_keymap i8k lrw gf128mul drm_kms_helper glue_helper ablk_helper cryptd joydev 8250_fintek serio_raw shpchp drm mei_me Dell_smo8800 wmi mei i2c_algo_bit lpc_ich video mac_hid coretemp parport_pc ppdev lp parport autofs4 e1000e ptp pps_core ahci psmouse sdhci_pci libahci sdhci
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494340] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G           OE  3.19.0-14-generic #14-Ubuntu
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494341] Hardware name: Dell Inc. Latitude E5440/078YP3, BIOS A10 12/18/2014
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494343]  ffffffffc0a9fe10 ffff88011ea03d28 ffffffff817c2205 0000000000000007
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494345]  ffff88011ea03d78 ffff88011ea03d68 ffffffff8107595a ffff88011ea03d88
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494348]  ffff880118f19000 ffff8800d97b8800 0000000000000000 ffff8800d97b89a8
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494351] Call Trace:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494353]  <IRQ>  [<ffffffff817c2205>] dump_stack+0x45/0x57
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494370]  [<ffffffff8107595a>] warn_slowpath_common+0x8a/0xc0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494372]  [<ffffffff810759d6>] warn_slowpath_fmt+0x46/0x50
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494390]  [<ffffffffc0a4ba3a>] intel_check_page_flip+0xda/0xf0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494411]  [<ffffffffc0a18948>] ironlake_irq_handler+0x2e8/0xfd0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494416]  [<ffffffff813bd824>] ? timerqueue_del+0x24/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494421]  [<ffffffff810956ff>] ? notifier_call_chain+0x4f/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494425]  [<ffffffff810cd5f7>] handle_irq_event_percpu+0x77/0x1a0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494428]  [<ffffffff810cd761>] handle_irq_event+0x41/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494432]  [<ffffffff810d07ce>] handle_Edge_irq+0x6e/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494435]  [<ffffffff81017772>] handle_irq+0x22/0x40
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494438]  [<ffffffff817cc27f>] do_IRQ+0x4f/0xf0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494448]  [<ffffffff817ca0ed>] common_interrupt+0x6d/0x6d
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494449]  <EOI>  [<ffffffff816643d5>] ? cpuidle_enter_state+0x65/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494453]  [<ffffffff816643c1>] ? cpuidle_enter_state+0x51/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494456]  [<ffffffff816645b7>] cpuidle_enter+0x17/0x20
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494459]  [<ffffffff810b6a41>] cpu_startup_entry+0x311/0x3b0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494463]  [<ffffffff817b6ad7>] rest_init+0x77/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494466]  [<ffffffff81d4cfce>] start_kernel+0x482/0x48f
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494469]  [<ffffffff81d4c120>] ? early_idt_handlers+0x120/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494472]  [<ffffffff81d4c4d7>] x86_64_start_reservations+0x2a/0x2c
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494474]  [<ffffffff81d4c61c>] x86_64_start_kernel+0x143/0x152
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494476] ---[ end trace 0b755d956a43fb36 ]---

Comme vous pouvez le voir à la deuxième ligne, cette chaîne de messages a été causée par (un avertissement dans) mon pilote GPU. Je ne me souviens de rien d'inhabituel à l'époque. Comme mon système n'est pas tombé en panne, je pense que tout va bien.

Vous devez rechercher "cut here" et "end trace" dans vos journaux pour déterminer la cause de ce message.

2
Eric Carvalho

Comme Eric l'a dit, le niveau de l'alerte est juste une classification et ne vous donne pas à peu près les informations que vous devez savoir pour déterminer si vous devez être inquiet ou non. Par exemple, une personne qui essaie initialement de pirater un compte via ssh apparaîtra comme une alerte de niveau 3, même si cela pourrait conduire à quelque chose de plus grave. Le texte qui suit le niveau d'alerte est beaucoup plus intéressant.

Message syslog non standard (taille trop grande).

Voici la règle actuelle:

<rule id="1003" level="13" maxsize="1025"> <description>Non standard syslog message (size too large).</description> </rule>

La ligne de votre fichier journal dépasse 1025 caractères. Dans votre cas, cela ne ressemble pas à un problème de sécurité. Si vous en recevez beaucoup, vous pouvez éditer vos fichiers de configuration pour les filtrer. Le problème avec les longs messages envoyés à vos fichiers journaux est que cela pourrait indiquer que quelqu'un essaie de tenter une attaque par dépassement de tampon en essayant de demander ou d'envoyer une URL excessivement longue à un serveur Web. Donc, tout est une question de contexte.

1
Rick Chatham