Предупреждение OSSEC HIDS: Правило: 1003 сработало (уровень 13) - > & ldquo; Нестандартное сообщение системного журнала (слишком большой размер). & rdquo;
Я использую последнюю стабильную версию OSSEC HIDS (2.8.1), и недавно я получил уведомление по электронной почте (поскольку я их включил), говорящее следующее:
OSSEC HIDS Уведомление. 2015 Apr 20 11:23:04
Получено от: Bath-Towel -> / var / log / syslog Правило: 1003 запущено (уровень 13) -> «Нестандартное сообщение системного журнала (слишком большой размер)». Часть журнала:
20 апр. 11:23:03 Ядро банного полотенца: [5864.618792] Модули, связанные в: nfnetlink_queue nfnetlink_log nfnetlink bnep rfcomm bluetooth 6lowpan_iphc uvcvideo videobuf2_vmalloc videobuob264f2 v2 v2 v2 vumev2 vmuc2vm2c2vm2c2vm2vv2c2vm2v2v2v2vm2vm2vv2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2_v2 СМИ xt_hl ip6t_rt nf_conntrack_ipv6 nf_defrag_ipv6 ip6t_REJECT xt_LOG xt_limit xt_tcpudp xt_addrtype nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack ipt_REJECT ARC4 ip6table_filter ip6_tables brcmsmac nf_conntrack_netbios_ns nf_conntrack_broadcast nf_nat_ftp CORDIC nf_nat brcmutil nf_conntrack_ftp b43 nf_conntrack iptable_filter mac80211 ip_tables x_tables snd_hda_codec_hdmi snd_hda_codec_realtek snd_hda_codec_generic cfg80211 ОБП intel_rapl x86_pkg_temp_thermal intel_powerclamp CoreTemp kvm_intel квм crct10dif_pclmul crc32_pclmul ghash_clmulni_intel cryptd snd_hda_intel snd_hda_controller snd_hda_codec ВСМА joydev snd_hwdep serio_raw thinkpad_acpi nvram snd_pcm snd_seq_midi lpc_ich shpchp snd_seq_midi_event mei_me snd_rawmi ди-мэй i915 (ОЕ) drm_kms_helper (ОЕ) ЦУП (ОЕ) i2c_algo_bit snd_seq snd_seq_device snd_timer WMI parport_pc СНД PPDEV soundcore LP PARPORT binfmt_misc видео mac_hid UAS AHCI usb_storage psmouse r8169 libahci MII
- КОНЕЦ УВЕДОМЛЕНИЯ
Это внезапно появилось совершенно неожиданно, и я не вижу очевидной причины, по которой я внезапно получил бы предупреждение, подобное этому (в то время я не делал ничего, что вносило какие-либо серьезные изменения в мою систему, в На самом деле я ничего не делал, кроме чтения доверенной страницы в Интернете).
Я рассмотрел, что означает предупреждение уровня 13, и согласно этой странице , это означает:
13 - Unusual error (high importance) - Most of the times it matches a common attack pattern.
Так что теперь я довольно обеспокоен, я также не знаю что на самом деле означает предупреждение (то, которое мне отправили), поэтому я не знаю, является ли это нападением или чем-то еще. Так что на самом деле я думаю, что мой вопрос теперь очевиден, что это значит, стоит ли о чем-то беспокоиться, и если да, то каково рекомендуемое действие?
Информация об ОС:
Description: Ubuntu 14.10
Release: 14.10
2 ответа
Необходимо иметь в виду, что OSSEC не достаточно умен для точного высказывания, что продолжается базирующийся только на тексте зарегистрированных сообщений. Необходимо проанализировать сообщение журнала сами для обнаружения его причины.
в уведомлении, которое Вы получили, говорится, что OSSEC нашел "Нестандартное сообщение системного журнала" из-за "размера слишком большим" в /var/log/syslog. Я не могу сказать, что делает большое сообщение в системном журнале связанным так или иначе с "общим шаблоном нападения", но я не заботился бы об этом; OSSEC генерирует много ложных положительных сторон. То, что необходимо сделать, должно исследовать то, что сообщение, которое генерировало средства уведомления.
К счастью, я уже видел этот вид сообщения. "Модули, связанные в": сопровождаемый списком модулей ядра обычно происходят, когда что-то связанное с ядром идет не так, как надо, и трассировка вызовов сгенерирована. Я нашел это на своем системном журнале:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494210] ------------[ cut here ]------------
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494257] WARNING: CPU: 0 PID: 0 at /build/buildd/linux-3.19.0/drivers/gpu/drm/i915/intel_display.c:9713 intel_check_page_flip+0xda/0xf0 [i915]()
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494259] Kicking stuck page flip: queued at 2514658, now 2514665
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494260] Modules linked in: ctr ccm rndis_host cdc_ether usbnet mii uas usb_storage nls_utf8 btrfs xor raid6_pq ufs qnx4 hfsplus hfs minix ntfs msdos jfs xfs libcrc32c cpuid pci_stub vboxpci(OE) vboxnetadp(OE) vboxnetflt(OE) vboxdrv(OE) binfmt_misc snd_hda_codec_hdmi i915 arc4 uvcvideo iwlmvm mac80211 videobuf2_vmalloc btusb intel_rapl videobuf2_memops iwlwifi iosf_mbi bluetooth x86_pkg_temp_thermal videobuf2_core intel_powerclamp v4l2_common videodev snd_hda_codec_realtek media snd_hda_codec_generic cfg80211 snd_hda_intel snd_hda_controller kvm_intel snd_hda_codec kvm snd_hwdep snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul ghash_clmulni_intel snd_seq snd_seq_device dell_laptop snd_timer dell_wmi dcdbas snd aesni_intel aes_x86_64 soundcore sparse_keymap i8k lrw gf128mul drm_kms_helper glue_helper ablk_helper cryptd joydev 8250_fintek serio_raw shpchp drm mei_me dell_smo8800 wmi mei i2c_algo_bit lpc_ich video mac_hid coretemp parport_pc ppdev lp parport autofs4 e1000e ptp pps_core ahci psmouse sdhci_pci libahci sdhci
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494340] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G OE 3.19.0-14-generic #14-Ubuntu
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494341] Hardware name: Dell Inc. Latitude E5440/078YP3, BIOS A10 12/18/2014
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494343] ffffffffc0a9fe10 ffff88011ea03d28 ffffffff817c2205 0000000000000007
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494345] ffff88011ea03d78 ffff88011ea03d68 ffffffff8107595a ffff88011ea03d88
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494348] ffff880118f19000 ffff8800d97b8800 0000000000000000 ffff8800d97b89a8
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494351] Call Trace:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494353] <IRQ> [<ffffffff817c2205>] dump_stack+0x45/0x57
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494370] [<ffffffff8107595a>] warn_slowpath_common+0x8a/0xc0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494372] [<ffffffff810759d6>] warn_slowpath_fmt+0x46/0x50
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494390] [<ffffffffc0a4ba3a>] intel_check_page_flip+0xda/0xf0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494411] [<ffffffffc0a18948>] ironlake_irq_handler+0x2e8/0xfd0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494416] [<ffffffff813bd824>] ? timerqueue_del+0x24/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494421] [<ffffffff810956ff>] ? notifier_call_chain+0x4f/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494425] [<ffffffff810cd5f7>] handle_irq_event_percpu+0x77/0x1a0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494428] [<ffffffff810cd761>] handle_irq_event+0x41/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494432] [<ffffffff810d07ce>] handle_edge_irq+0x6e/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494435] [<ffffffff81017772>] handle_irq+0x22/0x40
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494438] [<ffffffff817cc27f>] do_IRQ+0x4f/0xf0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494448] [<ffffffff817ca0ed>] common_interrupt+0x6d/0x6d
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494449] <EOI> [<ffffffff816643d5>] ? cpuidle_enter_state+0x65/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494453] [<ffffffff816643c1>] ? cpuidle_enter_state+0x51/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494456] [<ffffffff816645b7>] cpuidle_enter+0x17/0x20
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494459] [<ffffffff810b6a41>] cpu_startup_entry+0x311/0x3b0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494463] [<ffffffff817b6ad7>] rest_init+0x77/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494466] [<ffffffff81d4cfce>] start_kernel+0x482/0x48f
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494469] [<ffffffff81d4c120>] ? early_idt_handlers+0x120/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494472] [<ffffffff81d4c4d7>] x86_64_start_reservations+0x2a/0x2c
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494474] [<ffffffff81d4c61c>] x86_64_start_kernel+0x143/0x152
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494476] ---[ end trace 0b755d956a43fb36 ]---
, Как Вы видите во второй строке, та цепочка сообщений была вызвана (предупреждение в) мой драйвер GPU. Я не могу помнить ничего необычного тогда. Поскольку моя система не отказала, я думаю, что все в порядке.
необходимо искать "сокращение здесь" и "трассировку конца" в журналах для обнаружения то, что вызвало то сообщение.
Как Eric сказал, уровень предупреждения является просто классификацией и не дает Вам почти информацию, которую необходимо знать, чтобы определить, волноваться ли или нет. Например, кто-то первоначально пытающийся взламывать учетную запись через ssh обнаружится как предупреждение уровня 3 даже при том, что это могло привести к чему-то более серьезному. Текст, который следует за аварийным уровнем, намного более интересен.
Нестандартное сообщение системного журнала (слишком большой размер).
Вот фактическое правило:
<rule id="1003" level="13" maxsize="1025"> <description>Non standard syslog message (size too large).</description> </rule>
строка в Вашем файле журнала превышает 1 025 символов. В Вашем случае это не похоже на проблему безопасности. Если Вы получаете многие из них, можно отредактировать файлы конфигурации для фильтрования их. Беспокойство с длинными сообщениями, отправляемыми в Ваши файлы журнала, - то, что это могло указать, что кто-то пытается делать попытку нападения переполнения буфера путем попытки запросить или отправить чрезмерно длинный URL в веб-сервер. Таким образом, это - все о контексте.