Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".

#1 Le 24/06/2010, à 00:02

MaryPopy

OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

................... ..... Index sur 25 # par page ..... ...................

OSSEC. Détection d'intrusion et Rootkit.
Explication niveau facile.

Page 1
*Installation de OSSEC, ajout de fichiers à surveiller + astuce pour qu'ils soient pris en compte par l'analyse. Activer le Realtime sur des documents.

*Voir les alertes et leurs niveaux de gravité en temps réel.

Page 2
*Sous quel session l'alerte à été émise. Des informations supplémentaires sur l'identification des alertes serait appréciable.

Page 3
*Précision sur le contrôle d'un fichier simple
*Installation du Rootcheck par compilation http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3725713 point #66
Explication accessible aux débutants. Ce programme permet d'avoir un rapport complet des rootkit en un clic + un compte rendu des ports ouverts etc.
*Forcer un contrôle d'intégrité immédiat page 3 #70

Page 4
*Test de sécurité Nessus http://forum.ubuntu-fr.org/viewtopic.ph … 6#p3731796

Manuel du site officiel : http://www.ossec.net/main/manual/
-------------------------------------------------------------------------------------------------------------------------

Tout ce qu'il vous faut pour être alerté par e-mail en cas d'intrusion, de changement de droit, et autre manipulation qui ne viendrait pas de vous. C'est ici :

Je vous communique les commandes les plus essentiels, comme voir en temps réelle les logs et configurer 1 ou 2 point de Ossec.

Sur ce fils vous y apprendrez tout le nécessaires. Étant moi même tout juste sorti de la coquille, ce fil est d'un niveau facile. Tout le monde saura installer et auras des notions satisfaisante pour configurer OSSEC sur son ordinateur personnel...

------------------------------------------

Comme le poste à tourné au mode d'emploi. Je fait une petite intro :

Ok, les malware (tout confondu donc) sont rare sur Linux ; Les virus n'existes que en théorie sur Linux... Ok. Les intrusions, elles, sont tout autres choses. J'en ai été victime. Mais pour ceux qui sont tenté de dire que sa n'existe pas ou que c'est inutile... OSSEC sur des dossiers sensibles (déjà pré-configurés mais facilement configurable). Au moins vous serez avertis en cas de problème.

Si vous aviez un intrus qui pénètre votre domicile ou votre conjointe lol quand vous n'êtes pas là... Ne voudriez vous pas savoir ? Même si c'est rare !!??

Dernière modification par MaryPopy (Le 16/09/2010, à 20:51)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#2 Le 24/06/2010, à 23:14

hartman

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Salut,

Je vais juste te donner mon opinion sur le sujet, sans réellement avoir tester l'un ou l'autre (Ossec ou Snort).

Dans un premier temps, Ossec est un HIDS et Snort un NIDS, donc ils n'ont pas la même utilité.
J'ai acheté une revue Nunux et il y a quelques pages sur Ossec (c'est même un des articles principale du mag).
Juste en ayant lu cette présentation, je dirais qu'Ossec est très complet, d'autant qu'il intègre des fonctionnalité de détection de rootkit et moulte autres choses.
Snort n'est plus à présenter, et fait (pour moi), partie des poids lourd dans le domaine des NIDS.
Clam AV, d'après ce que j'ai pu lire (oui je lis beaucoup de magazine ^^), est un très bon anti-virus.

Maintenant, est-ce réellement utile de blinder sa machine à ce point?
Si tu dispose d'un routeur sans port forwarding, tu as très peut de chance de subir des attaques réseaux (sauf via le Wifi). Dans le cas contraire, la sécurisation des services est un passage obligatoire (et pourquoi pas Snort ou prélude)
Les seules saloperies que tu peut choper seront liées à des failles genre adobe, etc... en bref, des logiciels qui executent un code pourri, mais que tu aura pris soin (certainement involontairement) de lancer tongue.

Bref, pour les question:
1/ Ossec (pas vraiment de raison de prendre Snort. J'ai un NIDS sur mon FW, et j'ai plus de faux-positif qu'autre chose)
2/ Je ne sais pas, mais j'ai quand même un doute sur le temps réel.

Bon courage (au passage si tu pouvais nous faire profiter de ton retour d'expérience sur Ossec, j'suis preneur big_smile ).


P4 2.8Ghz 32bits / 1Go de RAM / GeForce FX5700LE.
Ubuntu Dapper Drake et Gutsy gibbon
Documentation sur Ubuntu, pour les débutants voir moins débutant :P

Hors ligne

#3 Le 26/08/2010, à 02:07

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Salut,

J'ai installé Ossec mais je ne le "voit" pas ?

As tu une solution ?

Merci.


"I know this music", Le 5ème élément.

Hors ligne

#4 Le 26/08/2010, à 09:31

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

castor77 a écrit :

Salut,

J'ai installé Ossec mais je ne le "voit" pas ?

As tu une solution ?

Merci.

Oui tu ouvre ta console et tu tapes :

top

Tu verras alors tout les processus en action.
Tu y verras OSSEC si il est en temps réel sur certains dossiers.
Plus loin dans le fil j'explique comment surveiller les alertes en temps réelle et les archives.

Si rien ne se passe désinstalle :

sudo rm -rf /var/ossec
sudo rm -f /etc/init.d/ossec
sudo rm -f /etc/ossec-init.conf

Puis installe  avec le .sh
Pour l'install il faut tout mettre par défaut sauf dans le choix de la machine a surveiller, c'est [local] qu'il faut saisir si la machine à surveiller est ton ordinateur perso.

Si c'est ok tu ne vois riens d'ajouté dans tes menu. OSSEC surveille les fichiers importants et t'envoi un mail en cas de problème level7.

Tu peu en ajouter par un fichier xml avec une instruction, c'est très facile en faite d'ajouter des dossiers à surveiller. Sa surveille une fois chaque 22 000 secondes je crois. Mais tu peu régler pour mettre en temps réel.


Pour installer le rootcheck en plus de l'HIDS c'est ici : http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3725713
L'HIDS comprend ce programme. Perso, je l'ai aussi installer séparément sans activer le démon.
Cela me permet de faire de petits test détaillés super enrichissant.

Dernière modification par MaryPopy (Le 14/09/2010, à 13:54)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#5 Le 26/08/2010, à 13:26

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Pour ajouter un fichier à surveiller ouvre :

sudo gedit /var/ossec/etc/ossec.conf

Recherche syscheck dans ce document xml et tu ajoute sous directories séparé d'une virgule les dossiers à ajouter ou rajoute des lignes qui suivent cette forme :

<directories check_all="yes">/home/ton_user/tes_dossiers</directories>

Cette forme susmentionnée est donc par défaut en mode <frequency>79200</frequency> qui signifie que le contrôle d'intégrité se fait chaque 22h. A modifier au besoin mais ne pas retirer cette valeur.
Pour ajouter des scans en temps réel assurez vous d'avoir un bon processeur. Je dirais un Quad 2.8 GHz pour un ordinateur de bureau pour analyser l'exemple qui vas suivre en temps réel.

Firefox et Filezilla avec une surveillance en temps réelle. Celà donne :

<directories check_all="yes" realtime="yes">/home/marypopy/.mozilla,/home/marypopy/.filezilla</directories>

Cette solution mange 40% à 65% de mon CPU (Quad 2.4GHz) à l'allumage de Firefox. Cela a provoqué de rares gels de Firefox. avoir un bon processeur pour ce le permettre ![/b]

Suite à une modification, relance le chmilblik :

Mise à jour de la base pour le check d'intégrité

sudo /var/ossec/bin/syscheck_update -a

Et

sudo /var/ossec/bin/syscheck_update -l
sudo /var/ossec/bin/ossec-control restart

La si tu as un message de ce type c'est ok :

Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)...
ossec-maild already running...
ossec-execd already running...
ossec-analysisd already running...
ossec-logcollector already running...
ossec-syscheckd already running...
ossec-monitord already running...
Completed.

Si c'est pas ok sa ressemble à ça :

Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)...
2010/08/26 13:20:25 ossec-config(1226): ERROR: Error reading XML file '/var/ossec/etc/ossec.conf': XMLERR: Attribute 'realtime' not followed by a " or '. (line 76).
2010/08/26 13:20:25 ossec-testrule(1202): ERROR: Configuration error at '/var/ossec/etc/ossec.conf'. Exiting.
ossec-analysisd: Configuration error. Exiting.
2010/08/26 13:20:25 ossec-config(1226): ERROR: Error reading XML file '/var/ossec/etc/ossec.conf': XMLERR: Attribute 'realtime' not followed by a " or '. (line 76).
2010/08/26 13:20:25 ossec-maild(1202): ERROR: Configuration error at '/var/ossec/etc/ossec.conf'. Exiting.
ossec-maild: Configuration error. Exiting

Dernière modification par MaryPopy (Le 08/09/2010, à 16:04)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#6 Le 26/08/2010, à 14:17

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Besoin de plus d'info ?? Ok :

A la place de "check_all" qui active toutes les actions que je vais énumérer, vous pourriez préférer les activer séparément celons vos intérêts.

check_sum vérifications selon sommes de contrôle
check_size vérification sur la taille des fichiers
check_owner vérification basée sur le changement de propriétaire
check_groupe vérification basée sur le changement de groupe
check_perm vérification basée sur le changement de permission

Toujour indiquer le yes. L'activation se passe donc sous cette forme :

<directories check_sum="yes" heck_size="yes" check_owner="yes" check_groupe="yes" check_perm="yes">/home/ton_user/tes_dossiers</directories>

Cette forme est absolument égale à :

<directories check_all="yes">/home/ton_user/tes_dossiers</directories>

Ensuite "yes" "no" équivaut à un bouton on ou off. Mettez "no" si justement vous désirez enlever un contrôle.


La balise <ignore> sert à exclure du contenu de l'analyse.

Dernière modification par MaryPopy (Le 27/08/2010, à 18:58)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#7 Le 27/08/2010, à 02:51

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Ok Mary Poppy,

ça marche

merci beaucoup


"I know this music", Le 5ème élément.

Hors ligne

#8 Le 27/08/2010, à 02:55

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Heu ça marche mais mon /var/ossec est vide et whereis ossec ne donne rien !

Je vais faire une ré-install...même si ça marche.


"I know this music", Le 5ème élément.

Hors ligne

#9 Le 27/08/2010, à 12:43

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

castor77 a écrit :

Heu ça marche mais mon /var/ossec est vide!

Ouvre ta console et lance le grand manitou met toi en sudo donc :

sudo -s # Message pour les débutant ... le code n'apparait pas. Tapez le quand même et faite entrer.

Rend toi avec la commande "cd" dans le répertoir voulu :

cd /var/ossec

Demande à la console de t'afficher une liste "ls" en détail "-l" :

ls -l

Tu auras la liste que contiens ce répertoire...

root@ubuntu:/var/ossec# ls -l
total 52
dr-xr-x--- 13 root  ossec 4096 2010-08-26 21:56 .
drwxr-xr-x 16 root  root  4096 2010-08-26 21:56 ..
dr-xr-x---  3 root  ossec 4096 2010-08-26 21:56 active-response
dr-xr-x---  2 root  ossec 4096 2010-08-26 21:56 agentless
dr-xr-x---  2 root  ossec 4096 2010-08-27 12:51 bin
dr-xr-x---  3 root  ossec 4096 2010-08-26 22:39 etc
drwxr-x---  5 ossec ossec 4096 2010-08-26 21:56 logs
dr-xr-x--- 11 root  ossec 4096 2010-08-26 21:56 queue
dr-xr-x---  3 root  ossec 4096 2010-08-26 21:56 rules
drwx------  2 ossec ossec 4096 2010-08-26 21:56 .ssh
drwxr-x---  5 ossec ossec 4096 2010-08-26 21:58 stats
dr-xr-x---  2 root  ossec 4096 2010-08-26 21:56 tmp
dr-xr-x---  3 root  ossec 4096 2010-08-27 16:18 var

Si tu préfaire le mode graphique tu fait .

gksu nautilus

Puis tu te rend avec le navigateur de fichiers "nautilus" en root jusqu à /var/ossec
Si tu es nouveau, attention ce mode est impardonnable en cas d'erreur de manipulation.
Ce que tu y effaces est directement supprimé sans passer par la corbeille.
Lancer un programme précédé de gksu comme : gksu firefox est absolument pas recommandé.

Dernière modification par MaryPopy (Le 30/08/2010, à 00:52)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#10 Le 27/08/2010, à 12:53

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

castor77 a écrit :

whereis ossec ne donne rien !

Les processus sont dan /var/ossec/bin et la commende juste ossec n'existe pas.
Tout est gerré par /var/ossec/bin/ossec-control.

sudo /var/ossec/bin/ossec-control  
# suivit de stop, start ou restart de la même façon qu'au point #6 plus haut

Ensuite si sa ne suffit pas, il faut que tu parcours le dossier manuellement ou que tu change les droits du dossier. Mais c'est déconseillé. Il protège toutes les copies et données des répertoires qu'il surveille.

Dernière modification par MaryPopy (Le 27/08/2010, à 17:00)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#11 Le 27/08/2010, à 23:32

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

merci beaucoup !


"I know this music", Le 5ème élément.

Hors ligne

#12 Le 27/08/2010, à 23:53

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

sudo gedit /var/ossec/etc/ossec.conf

Je n'ai pas les droits là dessus.

Le doc est dit en lecture seule, pourtant j'aurais aimé modifier le realtime et les fichiers à surveiller (peut on mettre "/" ?).


"I know this music", Le 5ème élément.

Hors ligne

#13 Le 28/08/2010, à 00:43

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Cette commande fonctionne.
Tu dois avoir tout les droits root avec cette commande.

Es-tu sur que tu n'as pas juste écrit :

gedit /var/ossec/etc/ossec.conf

???


As-tu modifier les droits d'un fichiers ?
(ce qui n'expliquerais pas tout vu que sudo a tout les droits)

--------------------------------------

En gros ces protections te serviront pour te protéger des intrusions. En général, il faut une raison pour être "intrusionné tongue". De plus sur Linux les virus n'existent qu'en théorie. Mais il en existe à l'heure actuelle aucun virus viable et qui puissent se répandre sur toutes les distributions GNU/Linux tant elles sont différentes. Elles peuvent cependant véhiculer des virus Windows très aisément mais pas être contaminée.

Si ton ordinateur est privé... ne te prive pas de tout ça. Et profite de ton UC. Fait surveiller les documents stratégique déjà proposé par OSSEC un scan du /home avec Clamav de temps à autre si tu as un Windows sur ton réseau. Attention ! En ce moment ne pas scanner le /home en mode sudo avec Clamav car cela crée une erreur .Iceauthority.

Dernière modification par MaryPopy (Le 07/09/2010, à 23:40)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#14 Le 29/08/2010, à 04:26

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Merci de tous ces conseils mais j'ai bien fait un sudo / mdp pour :

sudo gedit /var/ossec/etc/ossec.conf

Mais j'obtiens :

capturetee.png

?!

Suis je maudit du processeur professeur ?


"I know this music", Le 5ème élément.

Hors ligne

#15 Le 29/08/2010, à 10:35

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Maudit... Oui sans doute tongue

Tu est sur ubuntu 10.04 ou une autre distribution ?

T as tenté la réinstallation d'OSSEC ?
Je te dirait comment voir quel sont les droits sur ce document et les changers. Tu modifieras ton document et tu remettras les droit direct après comme d'origine.

Cette solution résoudra ton problème.
Mais essaye la réinstallation de OSSEC.. si ce n'a pas déjà été fait.
------------------------------------

Avant de faire ce que je mentionne plus bas essaye le sudo su :

sudo su
gedit /var/ossec/etc/ossec.conf

une fois modifié fait

exit

-------------------------------------

Changement les droits de ossec.conf (provisoirement) si il est inaccessible :

Liste des droit des document présent dans etc

sudo su #plus besoin de mettre sudo devant à présent
cd /var/ossec/etc
ls -l

Tu dois avoir ça parmi d'autres documents : # si tu n'as pas ça au caractère près jusqu'au "c" du premier "ossec" bin... c'est étrange !

-r--r----- 1 root ossec  7194 2010-08-29 12:14 ossec.conf

Maintenant ajoute les droits d'écriture à l'user root.

chmod u+w /var/ossec/etc/ossec.conf

Refait une liste -l :

ls -l

Tu dois avoir ça à présent (le w qui signifie write) :

-rw-r----- 1 root ossec  7194 2010-08-29 12:14 ossec.conf

Maintenant essaye de changer ce que tu voulais dans la configuration :

gedit /var/ossec/etc/ossec.conf

Si sa à fonctionné ou non) remet comme c'était :

chmod u-w /var/ossec/etc/ossec.conf

Et quitte le mode root

exit

A présent le root est fermé. il faut à nouveau mettre sudo pour substituer le compte root.

Si sa n'a pas fonctionné il y aurais trop de manipulation de droit a effectuer et sa me prendrais trop de temp. Sans compter le risque d'erreur en remettant comme c'était.
Tu pourrais alors apprendre a manipuler les droits des fichiers :http://www.siteduzero.com/tutoriel-3-12 … #ss_part_5

J'ai installer ossec sur plusieurs machine. Je n'ai jamais eu ce problème !
Je décompressait manuellement dans un dossier que je nomme Applications dans mon dossier perso, je m'y rend avec cd en ligne de commande puis je lance sudo sh install.sh .
Je n'ai jamais rencontré de problèmes de droits d'accès en mode sudo. Pourtant mon root n'a que les droit de lecture sur ce document ! Tu as certainement touché qqch en décompressant ou en navigant. J'avoue que je ne comprend pas.

Tiens moi au courant.

Dernière modification par MaryPopy (Le 07/09/2010, à 23:55)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#16 Le 29/08/2010, à 16:42

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Merci pour toutes ces manips que je tenterais plus tard.

J'utilise FireStarter aussi depuis peu.
J'avais lancé des chrootkit etc mais quand j'ai voulu diagnostiquer les résultats je suis tombé sur quelqu'un de bien moins patient ou pédagogue que toi et qui n'apporte pas des réponses "dans l'urgence".... :

Sauf que tu prend le problème à l'envers. Apprend déjà à bien connaitre linux, a maitriser toutes ces notions (liens physique et symbolique, droits y compris les droits étendus, tous les fichiers systèmes critiques (et pourquoi il le sont) etc. Une fois que tu saura tout cela, tu sera en mesure d'interpréter le résultat de ce genre de soft. Dans l'autre sens, ca fonctionne beaucoup moins bien smile
http://forum.ubuntu-fr.org/viewtopic.php?pid=3536861#p3536861

Tu parles de ré-install au cas où mon OS aurait été "visité" comme le le craint ?

Merci encore de ton aide.

Tu devrais intégrer tes posts dans un tuto à mettre sur "Documentation" car ils sont très clairs.


"I know this music", Le 5ème élément.

Hors ligne

#17 Le 29/08/2010, à 17:44

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

C'est gentil... Quand je parle de réinstall, je pensait d'ossec pas de Ubuntu. Mais après avoir été visité comme tu dit. Une réinstall de l'OS pourrait être une chose à faire. Etre visité c'est rare. Mais comme j'ai un site web où j'y parle de sécurité. Peut être que sa amuse des pirates d'essayer de pénétrer mon système.

Ma fois beaucoup disent que ce protéger sur GNU/Linux est inutil. Si on prend à la lettre, on laisse le champs libre aux pirates.

J'essaye d'être claire car j'étais tout nouveau il y a peu et je ne trouvais aucune solution . Car l'entrée en matière nécessitait de connaître un minimum. Par exemple je ne pouvais pas quitter Windows avant car je ne savais même pas comment exécuter en sudo. Mtn quand j'y pense lol:lol::lol: Mais il y a 3 ans sa m'a empêcher de passer à Linux.

A+ tu me diras si sa a fonctionné..


A+

Dernière modification par MaryPopy (Le 07/09/2010, à 23:58)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#18 Le 29/08/2010, à 20:37

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Merci pour l'dée que je conserve mais je vais upgrader maintenant que la 10.04.1 LTS est sortie et accesoirement tenter le 64 bits.


"I know this music", Le 5ème élément.

Hors ligne

#19 Le 29/08/2010, à 20:39

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Quel est ton site si ce n'est pas indiscret ?

Je tombe sur lulu-search


"I know this music", Le 5ème élément.

Hors ligne

#20 Le 29/08/2010, à 21:13

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

castor77 a écrit :

Quel est ton site si ce n'est pas indiscret ?

Je tombe sur lulu-search

C'est bien lulu-search.com

Pour la 64 bit sauf erreur si tu veux installer flash pour les site web il te faudra installer Firefox 32 bit. Car il y a une incompatibilité. Si non regarde sur le site il y a des info.

Si tu as un processeur minimum dual core. T'es compatible avec le 64 Bit.


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#21 Le 04/09/2010, à 02:29

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Bonjour cher professeur,

Quand je lance un "who" en console avec Ossec allumé cela me sort un utilisateur "top" en plus de d'habitude.

capturebua.png

Je suppose que c'est normal et que seule ma paranoia ne l'est pas...


"I know this music", Le 5ème élément.

Hors ligne

#22 Le 04/09/2010, à 02:39

MaryPopy

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Non t as pas d'anomalie. Fait toi pas de souci.
T'as top d'allumé en même temps que tu as lancé w lol. Ce ne sont pas des utilisateur mais les commande en cours d'exécution.

SI tu veux voir les alertes et leur niveaux de gravité déjà inscrite avant phase d'archivation,

sudo gedit /var/ossec/logs/alerts/alerts.log

Pour la gravité des intrusion, inscrit le terme "level" dans la recherche. Toutes les alertes "level" supérieur à 7 sont assez grave.

T as des fausses alertes comme ici chez moi :

** Alert 1283589935.8269: mail  - syslog,attacks,invalid_login,
2010 Sep 04 10:45:35 ubuntu->/var/log/auth.log
Rule: 40101 (level 12) -> 'System user successfully logged to the system.'
Src IP: (none)
User: nobody
Sep  4 10:45:34 ubuntu su[8596]: + ??? root:nobody

--------------------------------------


Visionner les alertes :

sudo tail -f /var/ossec/logs/alerts/alerts.log

Si tu veux toutes les alertes en temps réel :

sudo tail -f /var/ossec/logs/ossec.log

Pour voir si sa fonctionne bien, ouvre sudo su dans une autre console et tu verra apparaitre une alerte lvl 3 au fond de l'autre shell qui exécute le tail -f sur le alerts.log.
Pour vérifier que le fonctionnement du mail, dans la configuration j'ai baissé le niveau d alerte à 3, puis j'ai ouvert une console et je me suis loggé en sudo su. Sa envoi un mail de niveau 3 dans ta boîte mail. Puis remettre à 7.
Si sa n'a pas fonctionné, change de boite mail pour voire par le fichiers de configuration.

Ne met pas une adresse que tu emploies. Si tu reçoit beaucoup d'alertes tu seras submergé.

Info : tail -f est intéressant d'employer sur n'importe quel fichier texte qui évolue. Comme les logs en l'occurrence.

Dernière modification par MaryPopy (Le 08/09/2010, à 13:27)


i7 950  @ 3.07GHz | 6 Go de Ram | GeForce GTS 250 512 MB | Tower sur Debian Testing 64bit | Netbook sur Debian Testing Openbox docky xfe
Mon dernier roman, édité chez Atramenta : http://www.vouillamozweb.ch

Hors ligne

#23 Le 06/09/2010, à 00:33

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

Merci encore.


"I know this music", Le 5ème élément.

Hors ligne

#24 Le 06/09/2010, à 23:58

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

And the Winner is :

OSSEC HIDS Notification.
2010 Sep 06 16:59:54

Received From: xxxxxxxx->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Sep  6 16:59:54 xxxxxxxx nullmailer[23000]: smtp: Failed: Connect failed



--END OF NOTIFICATION

Donc ça marche !


"I know this music", Le 5ème élément.

Hors ligne

#25 Le 07/09/2010, à 00:01

castor77

Re : OSSEC > NEW Détection d'intrusion + Rootcheck [solution]

En fait ça marche suite aux updates que tu m'as conseillé de faire hier, je pense!


"I know this music", Le 5ème élément.

Hors ligne

Haut de page ↑