[FUG-BR] OSSEC + AMAVIS + MAIA
Boa noite, alguém aqui está usando o OSSEC com amavis + Maia + spamassassim? o ossec está pegando dois logs e emitindo avisos a todo instante, visto que o problema ocorre sempre que recebo algum email no servidor. a primeira é de log grande, isso eu consegui reparar aumentando o tamanho do log na regra do ossec. já a segunda não consegui resolver que é quando o spamassassin faz o scan da messagem gerando logs grandes também, poré o ossec responde conforme a baixo: OSSEC HIDS Notification. 2007 Dec 09 22:17:40 Received From: capitao-/var/log/maillog Rule: 1002 fired (level 2) - Unknown problem somewhere in the system. Portion of the log(s): Dec 9 22:17:38 amavis[75022]: (75022-03) Maia: [read_system_config] Bad header checking is ENABLED --END OF NOTIFICATION OSSEC HIDS Notification. 2007 Dec 09 22:17:47 Received From: -/var/log/maillog Rule: 1002 fired (level 2) - Unknown problem somewhere in the system. Portion of the log(s): Dec 9 22:17:42 capitao amavis[75022]: (75022-03) extra modules loaded: /usr/local/etc/mail/spamassassin/FuzzyOcr.pm, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/autosplit.ix, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/inet_any2n.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/inet_n2dx.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/ipv6_aton.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/Util/ipv6_n2d.al, /usr/local/lib/perl5/site_perl/5.8.8/mach/auto/NetAddr/IP/autosplit.ix, Crypt/Blowfish.pm, Crypt/CBC.pm, Error.pm, Mail/SPF.pm, Mail/SPF/Base.pm, Mail/SPF/Exception.pm, Mail/SPF/MacroString.pm, Mail/SPF/Record.pm, Mail/SPF/Request.pm, Mail/SPF/Result.pm, Mail/SPF/Server.pm, Mail/SPF/Util.pm, Mail/SpamAssassin/Locales.pm, Mail/SpamAssassin/Plugin/Bayes.pm, Mail/SpamAssassin/Plugin/BodyEval.pm, Mail/SpamAssassin/Plugin/Check.pm, Mail/SpamAssassin/Plugin/DNSEval.pm, Mail/SpamAssassin/P lugin/HTMLEval.pm, Mail/Sp... --END OF NOTIFICATION Como evitar esse envio do ossec neste quesito? ou ainda, como criar uma regra de exceção para o spamassassim+maia? -- Kivanio Pereira Barbosa Cel 8121-4248 www.eiqconsultoria.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Rafael Busetti escreveu: Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh instalado) para o local apropriado: cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \ /var/ossec/active-response/bin/firewall-drop.sh Voila, voce esta pronto. Considere substituir o numero da regra e o numero da table de acordo com o setup do seu firewall. Se voce nao usa table e nao quer ter excecoes ao active-response entao nao precisa fazer nada. De resto basta testar e adaptar as regras de active-response, lembrando que por padrao o nivel de alertas para ativar active response eh 7 ou 8 se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por exemplo so uso active response em regras acima de 9, e inclusive minhas proprias regras tem level acima de 9. O que me remete a testes em ambiente de producao, que eu indico que voce substitua a regra de active response por count ao inves de deny durante suas etapas de teste (ate que voce valide as regras e diminua possibilidades de falso-positivos) senao as chances de voce se bloquear sao altas. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Em 28/03/07, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Rafael Busetti escreveu: Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh instalado) para o local apropriado: cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \ /var/ossec/active-response/bin/firewall-drop.sh Voila, voce esta pronto. Considere substituir o numero da regra e o numero da table de acordo com o setup do seu firewall. Se voce nao usa table e nao quer ter excecoes ao active-response entao nao precisa fazer nada. De resto basta testar e adaptar as regras de active-response, lembrando que por padrao o nivel de alertas para ativar active response eh 7 ou 8 se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por exemplo so uso active response em regras acima de 9, e inclusive minhas proprias regras tem level acima de 9. O que me remete a testes em ambiente de producao, que eu indico que voce substitua a regra de active response por count ao inves de deny durante suas etapas de teste (ate que voce valide as regras e diminua possibilidades de falso-positivos) senao as chances de voce se bloquear sao altas. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Patrick, Já tem port para esse programa? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Celso Viana escreveu: Em 28/03/07, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Rafael Busetti escreveu: Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh instalado) para o local apropriado: cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \ /var/ossec/active-response/bin/firewall-drop.sh Voila, voce esta pronto. Considere substituir o numero da regra e o numero da table de acordo com o setup do seu firewall. Se voce nao usa table e nao quer ter excecoes ao active-response entao nao precisa fazer nada. De resto basta testar e adaptar as regras de active-response, lembrando que por padrao o nivel de alertas para ativar active response eh 7 ou 8 se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por exemplo so uso active response em regras acima de 9, e inclusive minhas proprias regras tem level acima de 9. O que me remete a testes em ambiente de producao, que eu indico que voce substitua a regra de active response por count ao inves de deny durante suas etapas de teste (ate que voce valide as regras e diminua possibilidades de falso-positivos) senao as chances de voce se bloquear sao altas. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Patrick, Já tem port para esse programa? Nao tem nao Celso, mas o tar ball ja instala perfeitamente no FreeBSD, a unica observacao pra fazer o port seria o startup pois ele usa o rc.local. Por outro lado esse HIDS tem processos que rodam chrootado enquanto outros nao, entao tem que instalar tudo num soh path. Isso pode merecer algumas consideracoes dos commiters. Eu iniciei o port desse HIDS mas nao acabei hehe. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Em 28/03/07, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Celso Viana escreveu: Em 28/03/07, Patrick Tracanelli[EMAIL PROTECTED] escreveu: Rafael Busetti escreveu: Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O firewall-drop padrao nao eh o de IPFW.Se nao me engano eh de Linux, entao voce deve copiar o de ipfw (que esta no fonte do ossec, nao eh instalado) para o local apropriado: cp /path/source/do/ossec-hids-1.1/active-response/firewalls/ipfw.sh \ /var/ossec/active-response/bin/firewall-drop.sh Voila, voce esta pronto. Considere substituir o numero da regra e o numero da table de acordo com o setup do seu firewall. Se voce nao usa table e nao quer ter excecoes ao active-response entao nao precisa fazer nada. De resto basta testar e adaptar as regras de active-response, lembrando que por padrao o nivel de alertas para ativar active response eh 7 ou 8 se nao me engano que eh muito baixo, sucetivel a falso-positivos. Eu por exemplo so uso active response em regras acima de 9, e inclusive minhas proprias regras tem level acima de 9. O que me remete a testes em ambiente de producao, que eu indico que voce substitua a regra de active response por count ao inves de deny durante suas etapas de teste (ate que voce valide as regras e diminua possibilidades de falso-positivos) senao as chances de voce se bloquear sao altas. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Patrick, Já tem port para esse programa? Nao tem nao Celso, mas o tar ball ja instala perfeitamente no FreeBSD, a unica observacao pra fazer o port seria o startup pois ele usa o rc.local. Por outro lado esse HIDS tem processos que rodam chrootado enquanto outros nao, entao tem que instalar tudo num soh path. Isso pode merecer algumas consideracoes dos commiters. Eu iniciei o port desse HIDS mas nao acabei hehe. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Estou esperando o anuncio do ports... valews -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OSSEC
Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Oi Rafael, Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas funfa... para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em um bsd de um outro cliente e rodei um nikto para testar falhas no meu servidor... depois de alguns testes executados o snort detectou uma tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e na mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip no /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, March 27, 2007 3:58 PM Subject: [FUG-BR] OSSEC Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
Certo amigo, então eu precisaria do snort para trabalhar em conjunto com o ossec e então gerar as regras no firewall? Em 27/03/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Oi Rafael, Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas funfa... para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em um bsd de um outro cliente e rodei um nikto para testar falhas no meu servidor... depois de alguns testes executados o snort detectou uma tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e na mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip no /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, March 27, 2007 3:58 PM Subject: [FUG-BR] OSSEC Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OSSEC
O snort pode trabalhar somente com os logs de algumas aplicacoes como apache, ou com logs do sistema (messages, etc) e com essas informacoes (como erros de login via ssh) bloquear o usuario via ipfw... nesse caso voce pode ficar sem o snort... mas acho uma seguranca muito basica... o snort e uma boa selecao de rules gerando logs para o ossec ficaria mais profissional... ainda poderia usar o BASE para analisar via navegador os possiveis ataques detectados pelo snort (e consequentemente bloqueados pelo ossec+ipfw). Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, March 27, 2007 4:22 PM Subject: Re: [FUG-BR] OSSEC Certo amigo, então eu precisaria do snort para trabalhar em conjunto com o ossec e então gerar as regras no firewall? Em 27/03/07, Welkson Renny de Medeiros[EMAIL PROTECTED] escreveu: Oi Rafael, Eu usava a versão 0.9, funcionava direitinho, recentemente atualizei para 1.1, também fiquei na dúvida sobre o Active Response com IPFW, mas funfa... para testar fiz o seguinte, deixei o snort e o ossec ligado, conectei em um bsd de um outro cliente e rodei um nikto para testar falhas no meu servidor... depois de alguns testes executados o snort detectou uma tentativa de invasão, gerou o log no /var/log/snort/alert, o ossec leu e na mesma hora bloqueou o ip do cliente pelo ipfw (ele inclui o ip do atacante na table 1 - ipfw table 1 list)... funfou 100%... ele também inclui o ip no /etc/hosts.deny, mas eu retirei esse script, prefiro só no ipfw mesmo. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Rafael Busetti [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, March 27, 2007 3:58 PM Subject: [FUG-BR] OSSEC Boa tarde pessoal, To aqui testando o OSSEC faz mais ou menos uns 4 dias, para ver todo o funcionamento dele ... ele envia email, consegui trabalhar com ele tranquilamente, porém em questão do Active-Responde eu não estou conseguindo fazer ele funcionar ... precisa fazer alguma configuração mais especifica? Procurei aqui porém não achei nada, meus logs do IPFW são salvos no /var/log/ipfw/ipfw.log ... porém nao achei nenhum lugar para especificar isso para o OSSEC ... como sei se está funcionadno está parte? OBrigado! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
