Pour ce tuto : http://mondedie.fr/d/5821 Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

Super tutoriel !! Merci Hardware maintenant avec Ossec je suis au Sec !!

Super Hardware Merci Dis pour la partie OSSEC Web User Interface tu aurais une idée pour ceux qui sont sous lighttpd ? J'ai essayé de voir sur le net mais après install du dossier /var/www/ossec-wui-0.3 puis script setup.sh je bloque. j'ai aussi le fichier ossec dans /var/www .

moi sur nginx sa marche pas Unable to access ossec directory. sinon ta fait une erreur pour l'installation du web ui de ossec

@boby31 > Regarde ce tutoriel : http://crunchbang.org/forums/d/14232 Il indique comment configurer lighttpd pour OssecWUI.

@Hardware j'ai tenté mais trop chaud pour mon niveau. j'arrivai plus a restart lighttpd. bon du coup je laisse sans webui

j'ai tenter de mettre ossec en sonde sa marche pas je pense qu'il faut installer prelude avant ossec et pour snort je pige rien mdr j'ai fait du gros bordel en plus avec les tuto donc je sais pas faut qu'on voit sa ensemble ^^ Modif de la nuit ba j'ai prelude qui marche plus du tout ^^ comment on le desinstalle ?

wget --header="User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0) Gecko/20100101 Firefox/31.0" http://www.ossec.net/files/ossec-wui-0.8.tar.gz tar -xzf ossec-wui-0.8.tar.gz Bonsoir, comme on peut le voir sur le site de OSSEC ainsi que le GitHub , il existe une version 0.8 de la WebUI de OSSEC. Le tutoriel ne mentionne pas son existence. Ainsi je m'interroge, il y aurait une raison en particulier ? La version 0.3 serait préférable ? Une simple inconnue ? Autrement, je souhaiterais savoir comment faudrait-il procéder avec OSSEC afin de bannir l'émetteur d'une requête visant l'injection d'url ? Par défaut, OSSEC me semble inactif sur ce point...

Petite erreur de ma part pour le numéro de version, je vais corriger ça de suite Wagner wrote: Autrement, je souhaiterais savoir comment faudrait-il procéder avec OSSEC afin de bannir l'émetteur d'une requête visant l'injection d'url ? Injection d'url, c'est à dire ? Si tu parles des injections SQL et XSS, OSSEC prend en charge nativement ces deux types d'attaques avec les règles suivantes : <rule id="31103" level="6"> <if_sid>31100</if_sid> <url>=select%20|select+|insert%20|%20from%20|%20where%20|union%20|</url> <url>union+|where+|null,null|xp_cmdshell</url> <description>SQL injection attempt.</description> <group>attack,sql_injection,</group> </rule> <rule id="31105" level="6"> <if_sid>31100</if_sid> <url>%3Cscript|%3C%2Fscript|script>|script%3E|SRC=javascript|IMG%20|</url> <url>%20ONLOAD=|INPUT%20|iframe%20</url> <description>XSS (Cross Site Scripting) attempt.</description> <group>attack,</group> </rule> Je viens de faire un essai sur mon site web avec cette URL : /index.php?cat=articles&%20lid=-1%20UNION%20SELECT%200,username,userid,password J'ai été banni en moins de 4 secondes donc ça marche plutôt bien apparement

Ainsi, c'était juste une petite erreur de frappe, merci Hardware. request: "GET http://une.adresse.url 200 Voici un exemple, c'est extrait des logs de Nginx. Il ne s'agit pas d'injection SQL (ou XSS), juste une url (un nom de domaine). Parfois, c'est toujours la même. Avec Fail2Ban, ce type de tentatives ont un code d'erreur (404 etc). Avec OSSEC, c'est toujours le code 200. C'est la cause de cette impression... elle serait à tort ?

Les codes de statut du protocole HTTP sont déterminés uniquement par le serveur web. Si la ressource demandée par le client n'existe pas, le serveur web retourne systèmatiquement le code 404. OSSEC de son côté ne fait qu'analyser les logs du serveur web et prend une décision en fonction des règles contenues dans le répertoire /var/ossec/rules. Si un client génère une multitudes d'erreurs 404 pendant un laps de temps assez court, allors OSSEC bannira l'ip du client de manière temporaire simplement par prévention. Dans le cas d'un code de retour égal à 200 : request: "GET http://une.adresse.url 200..." c'est parfaitement normal qu'ossec ne réagisse pas car la requête a été traité avec succès par le serveur web, il n'y a donc pas d'action à entreprendre.

[Discussion] Sécuriser son serveur avec Ossec et Prelude : Page 6

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Sécuriser son serveur avec Ossec et Prelude

gafish

Rebonjour,

Je me réponds à moi même, en fait les erreurs PHP que je souhaitais attraper n'étaient pas dans le httpd.rules.
Du coup j'ai créé un .rules avec les regex correspondant à ce que je souhaitais récupérer et c'est tout de suite mieux. Au niveau des erreurs PHP, il existe des fichiers .rules déjà fait avec les regexp standard ?
Et pour le souci de mon check_prelude, l'heure de l'évènement enregistré en base n'est pas à l'heure (-1h) du coup il n'entre pas dans les 300s du check, je vais voir pourquoi l'heure enregistrée ne correspond pas à mon fuseau.

Hardware

gafish wrote:Par contre, j'ai bien générer d'autres erreurs ensuite (que je vois passer dans le error log apache), rien ne se passe.
Même si je delete ou marque en succeded l'erreur en question, rien ne m'est remonté.

Vérifie que tes fichiers de logs sont bien analysés par Prelude et/ou OSSEC. Sinon peut-être que prelude-lml ne considère pas ça comme des erreurs donc il ne remonte rien.

Ce que tu peux faire, c'est d'ajouter une règle personnalisée dans le fichier rules/local_rules.xml d'OSSEC :

<rule id="XXXXX" level="6">
    <match>[Error] An error has occurred...</match>
    <description>Une erreur php quelconque</description>
    <group>web,</group>
</rule>

Quand la règle sera match, l'alerte devrait remonter dans Prelude.

gafish wrote: Autre chose, nous avons mis en place le plugin check_predule.pl pour Nagios, mais qui
remonte toujours Ok, même lorsque l'erreur était affichée dans Prewikka.

J'ai pas bien compris, que fait ce script exactement ?

gafish

Bonjour,

Merci pour ta réponse. En fait, je n'ai pas OSSEC d'installé, je me suis arrêté à Prelude car cela suffit à mon besoin (qui est en gros de me remonter les erreurs PHP via Nagios).
C'était bien un souci de règles, j'ai crée une rules supplémentaire pour LML et j'ai bien une remontée des erreurs via Prewikka.
Le script check_prelude de Nagios va aller requêter la BDD prelude et s'il trouve des erreurs high ou médium il va remonter une alerte à Nagios.

Arnaud

Zabie

Salut,

J'ai besoin de votre aide avec Ossec. J'ai voulu configurer les notifications par mail mais je n'y arrive pas j'ai une erreur a chaque fois.

Level:
5 - Sender domain is not found (450: Requested mail action not taken).
Rule Id: 3303
Location: hostname->/var/log/mail.info
Src IP: XX.XX.XX.XX
Jan 20 19:06:35 hostname postfix/smtpd[4203]: NOQUEUE: reject: RCPT from hostname.domaine.tld[XX.XX.XX.XX]: 450 4.7.1 <notify.ossec.net>: Helo command rejected: Host not found; from=<user@domaine.tld> to=<ossecm@domaine.tld> proto=SMTP helo=<notify.ossec.net>

Voici la conf ossec :

  <global>
    <email_notification>yes</email_notification>
    <email_to>user@domaine.tld</email_to>
    <smtp_server>mail.domaine.tld.</smtp_server>
    <email_from>ossecm@domaine.tld</email_from>

    <prelude_output>yes</prelude_output>
    <prelude_profile>ossec</prelude_profile>
    <prelude_log_level>4</prelude_log_level>
  </global>

La petite zone DNS qui va bien :

$TTL 3600
@	IN SOA dns109.ovh.net. tech.ovh.net. (2015012026 86400 3600 3600000 300)
                       IN NS     dns107.ovh.net.
                       IN NS     ns107.ovh.net.
                       IN MX 10  mail.domaine.tld.
                       IN A      XX.XX.XX.XX
                       IN TXT    "v=spf1 a mx ip4:XX.XX.XX.XX ~all"
                   600 IN TXT    "v=spf1 a mx ip4:XX.XX.XX.XX ~all"
hostname               IN A      XX.XX.XX.XX
imap                   IN CNAME  hostname
mail                   IN A      XX.XX.XX.XX
mail._domainkey        IN TXT    "v=DKIM1; k=rsa; p=key"
smtp                   IN CNAME  hostname

Une petite aide ne serait pas de refus, je deviens dingue

EDIT :

La petite solution qui va bien soit on modifie les sender resterictions dans postfix (http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions)

smtpd_sender_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated, 
     reject_non_fqdn_recipient, 
     reject_unauth_destination, 
     reject_unknown_recipient_domain

Merci Hardware

Soit vous êtes comme moi et n'avait rien compris et vous faites un bypass de la résolution de l'adresse et mettant la boucle locale (127.0.0.1) :

<email_notification>yes</email_notification>
    <email_to>user@domaine.tld</email_to>
    <smtp_server>127.0.0.1</smtp_server>
    <email_from>ossecm@domaine.tld</email_from>

rem42

Bonjour,

Impossible de télécharger prelude.
le liens : https://www.prelude-siem.org/attachments/download/351/libprelude-1.2.5.tar.gz donne une erreur 404

Du coup ben je suis bloqué à la première étape ^^.

Si quelqu'un à l'archive, pour que je puisse m'en service 🙂

Merci

Hardware

Hum ça doit être temporaire, tu peux essayer de contacter Yoann en personne :3

corentin80

bonjour,

toujours le même soucis après mise à jour de ton tuto....

wget https://www.prelude-siem.org/attachments/download/351/libprelude-1.2.5.tar.gz
--2015-01-27 12:45:32--  https://www.prelude-siem.org/attachments/download/351/libprelude-1.2.5.tar.gz
Resolving www.prelude-siem.org (www.prelude-siem.org)... 195.154.217.136
Connecting to www.prelude-siem.org (www.prelude-siem.org)|195.154.217.136|:443... connected.
ERROR: The certificate of `www.prelude-siem.org' is not trusted.

edit : j'ai up les fichiers à la main mais si tu trouves une solution pour l'avenir...

kolgate

corentin80 wrote:bonjour,

toujours le même soucis après mise à jour de ton tuto....

wget https://www.prelude-siem.org/attachments/download/351/libprelude-1.2.5.tar.gz
--2015-01-27 12:45:32--  https://www.prelude-siem.org/attachments/download/351/libprelude-1.2.5.tar.gz
Resolving www.prelude-siem.org (www.prelude-siem.org)... 195.154.217.136
Connecting to www.prelude-siem.org (www.prelude-siem.org)|195.154.217.136|:443... connected.
ERROR: The certificate of `www.prelude-siem.org' is not trusted.

edit : j'ai up les fichiers à la main mais si tu trouves une solution pour l'avenir...

Perso je suis passer par : wget --no-check-certificate
Par contre j'ai toujours le problème de locales pour prewikka ça me gave. Je suis à deux doigt du formatage.

Hardware

Effectivement la commande wget ne peut pas fonctionner sans l'option --no-check-certificate, le certificat SSL est invalide, la chaine de certification n'est pas complète.

@kolgate : Essaye avec une VM, pour voir si tu as la même erreur.

kolgate

Hardware wrote:Effectivement la commande wget ne peut pas fonctionner sans l'option --no-check-certificate, le certificat SSL est invalide, la chaine de certification n'est pas complète.

@kolgate : Essaye avec une VM, pour voir si tu as la même erreur.

Une VM sur un ks2... Non mais je me doute que ça fonctionne c'est mon debian qui est dans les choux.

corentin80

alors dans la partie : Ajout des scripts init.d

apt-get download prelude-manager
dpkg --extract prelude-manager_1.0.1-4_i386.deb prelude-manager
cd prelude-manager
cp etc/init.d/prelude-manager /etc/init.d/prelude-manager

alors je comprends pas trop :

cp etc/init.d/prelude-manager /etc/init.d/prelude-manager

puisqu'après tu fais :

cd /etc/init.d

wget https://gist.githubusercontent.com/hardware/92ffda173ed4db68be6f/raw/89e146a5869b09f53863a13f90f146b5d76a408f/prelude-manager

du coup chez moi j'ai ça :

/etc/init.d# ls
README                  hwclock.sh             networking          rng-tools
acpid                   ipmievd                nginx               rsync
bind9                   irqbalance             ntp                 rsyslog
bootlogs                killprocs              opendkim            screen-cleanup
bootmisc.sh             kmod                   ossec               sendsigs
cedric-rtorrent         lvm2                   php5-fpm            single
checkfs.sh              mdadm                  postfix             skeleton
checkroot-bootclean.sh  mdadm-raid             prelude-correlator  smartd
checkroot.sh            mdadm-waitidle         prelude-lml         smartmontools
corentin-rtorrent       motd                   prelude-manager     ssh
cron                    mountall-bootclean.sh  prelude-manager.1   udev
dbus                    mountall.sh            prewikka            udev-mtab
dovecot                 mountdevsubfs.sh       procps              umountfs
fail2ban                mountkernfs.sh         rc                  umountnfs.sh
gaetan-rtorrent         mountnfs-bootclean.sh  rc.local            umountroot
halt                    mountnfs.sh            rcS                 urandom
hddtemp                 mtab.sh                reboot              vsftpd
hostname.sh             mysql                  rmnologin           x11-common

Solinvictus

Salut,

Je rattrape ici la conversation, avec mes "deux" soucis, à savoir :

Lorsque j'accède à Ossec, j'ai le droit à :
```
Unable to access ossec directory. 
```

J'ai vérifié les droits, ils semblent être correct. Je t'ai vu me demander si j'avais rutorrent sur le même serveur ? C'est effectivement le cas Hard, un conflit ?

~~Second point, je dois avoir un soucis avec l'envoi de mail :~~

Sender domain is not found (450: Requested mail action not taken). (succeeded)

~~Le coup des sender_restrictions ?~~

Merci

edit : point 2 réglé il semblerait, en suivant ceci : http://mondedie.fr/d/5822/104

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

edit 1 :

Sinon :

Partant du principe, qu'on utilise rutorrent, et qu'on le protège par un fichier .htaccess, j'aimerai définir des règles en conséquence. Je me suis donc dit que :

1°) J'édite le fichier ossec.conf :

nano /var/ossec/etc/ossec.conf

J'y ajoute à la fin le log à monitorer :

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/nginx/rutorrent-error.log</location>
  </localfile>

Ici, j'ai une première question, est-ce correct d'y mettre apache en log_format ? Je me suis dit qu'ainsi, on tombait sous la règle : nginx_rules.xml qui dépend à priori du group name : "apache".

2°) Je modifie les options d'nginx_rules.xml : un brin plus agressif :

<rule id="31316" level="10" frequency="2" timeframe="10">
    <if_matched_sid>31315</if_matched_sid>
    <same_source_ip />
    <description>Multiple web authentication failures.</description>
    <group>authentication_failures,</group>
  </rule>

Ici, on est donc dans le cas suivant :

Si le système détecte plus de 2 tentatives dans un laps de 10 secondes, alors : BAN !!!

Z'en pensez quoi les Doc's ?

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

edit2:

D'ailleurs, pour bannir définitivement une IP trop insistante, je passe toujours (parce que je le faisais sous fail2ban) par :

iptables -I INPUT -s IP -j DROP

Ou il faut agir différemment avec Prelude/Ossec ?

Sinon, je vois que tu mentionnes Dshield ? Tu pourrais m'en dire plus ?

Autre petit truc pénible, je reçois des mails sur des alertes de niveau 2 malgré que le paramètre email_alert soit placé à 7. Un autre paramètre serait à modifier ?

corentin80

salut Hard,

J'ai un petit soucis.

tout s'est bien passé à l'installation, les services se sont bien lancés etc,

mais là je viens de voir que prelude-correlator n'était plus connecté, j'ai relancé le service, il est à nouveau connecté, mais il se déconnecte quelques minutes plus tard,
tu as une idée?

merci

Ayenon

Tu as bien le script de vérification des services en cron ?

corentin80

Salut Ayenon,

j'avais installé debsecan : http://mondedie.fr/d/6198

je l'ai enlevé et depuis la sonde reste connecté....

à suivre

Solinvictus

Je trouve une règle envahissante, même plusieurs, qui dépendent de "rules" :

/var/ossec/rules/ossec_rules.xml

Ossec effectue un tas de vérifications, de type :

* df -h
* netstat -tan
* etc.

Peut-on limiter l'envoie de ces mails, je ne vois pas où cela se situe ?

Hardware

Tu peux enlever ces vérifications dans le fichier /var/ossec/etc/ossec.conf

Solinvictus

Hardware wrote:Tu peux enlever ces vérifications dans le fichier /var/ossec/etc/ossec.conf

Je regarde, merci Hard.

Solinvictus

C'est encore moi Hard !

Je cherche à définir un firewall-drop/host-deny sur une règle particulière :

fgrep 'id="31151"' /var/ossec/rules/*.xml
/var/ossec/rules/web_rules.xml:  <rule id="31151" level="10" frequency="12" timeframe="90">

La règle en question :

<rule id="31101" level="5">
    <if_sid>31100</if_sid>
    <id>^4</id>
    <description>Web server 400 error code.</description>
  </rule>

Sachant que ces erreurs sont consignées dans :

/var/log/nginx/access.log

Qui existent déjà dans le fichier /var/ossec/etc/ossec.conf, sous le log_format : apache, alors que la règle id=31101 est regroupée dans le group_name="web,accesslog,"

Les petits malins qui balancent des scripts à tout va, par défaut, cela ne semble pas les bans, juste les renvoyer vers une erreur 400. Sais-tu comment et où je pourrais définir l'AR ?

Je teste pas mal de trucs, mais ça n'est pas concluant, penses-tu que cette dernière solution est bonne ?

J'ajoute dans le fichier ossec.conf ceci :

<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <rules_id>31101</rules_id>
  <timeout>120</timeout>
  </active-response>

edit :

Ah, j'ai l'impression que ça fonctionne :

217.XX.XX.XX - - [01/Feb/2015:12:07:19 +0100] "GET / HTTP/1.1" 400 166 "-" "-"

iptables -L -n -v
 0     0 DROP       all  --  *      *       217.XX.XX.XX        0.0.0.0/0

kolgate

Bon ça fait 15j que je me bat avec le tuto et nada.

J'ai formaté et reinstallé le serveur template kimsufi debian 7.5 64b rien d'installé et je ne dépasse pas l'étape de prewikka problème de locale... qui sont bien fr_FR.utf-8.

D'ailleur dans le tuto si tu part d'un serveur a zéro il manque quelque pré-requis comme mysql-server et dépendance, GCC, G++ et MAKE.
Voilà voilà si y à une bonne âme pour me faire comprendre d'ou vient le problème je suis preneur. JE CRAQUE

« Page précédente Page suivante »