web-dev-qa-db-ja.com

OSSEC HIDSアラート:ルール:1003が発生(レベル13)->「標準以外のsyslogメッセージ(サイズが大きすぎます)。」

OSSEC HIDS (2.8.1)の最新の安定バージョンを実行していますが、最近(これを有効にしたので)電子メール通知を受け取りました:

OSSEC HIDS通知。 2015年4月20日11:23:04

受信者:Bath-Towel->/var/log/syslogルール:1003起動(レベル13)->「非標準syslogメッセージ(サイズが大きすぎます)。」ログの部分:

4月20日11時23分03秒バス・タオルカーネル:[5864.618792]モジュールの中でリンクさ:nfnetlink_queue nfnetlink_log nfnetlink BNEP RFCOMMブルートゥース6lowpan_iphc uvcvideo videobuf2_vmalloc videobuf2_memops videobuf2_core v4l2_common videodev keucr(C)メディアxt_hl ip6t_rt nf_conntrack_ipv6 nf_defrag_ipv6 ip6t_REJECT xt_LOG xt_limit xt_tcpudp xt_addrtype nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack ipt_REJECT ARC4 ip6table_filter ip6_tables brcmsmac nf_conntrack_netbios_ns nf_conntrack_broadcast nf_nat_ftpコーディックnf_nat brcmutil nf_conntrack_ftp B43 nf_conntrack iptable_filter mac80211 ip_tables x_tables snd_hda_codec_hdmi snd_hda_codec_realtek snd_hda_codec_generic cfg80211 SSB intel_rapl x86_pkg_temp_thermal intel_powerclamp coretemp kvm_intel KVM crct10dif_pclmul crc32_pclmul ghash_clmulni_intel cryptd snd_hda_intel snd_hda_controller snd_hda_codec BCMA joydev snd_hwdep serio_raw thinkpad_acpi NVRAM snd_pcm snd_seq_midi lpc_ich shpchp snd_seq_midi_event mei_me snd_rawmidi MEI i915 (OE)drm_kms_helper(OE )drm(OE)i2c_algo_bit snd_seq wmi snd_seq_device snd_timer parport_pc snd ppdev soundcore lp parport binfmt_misc video mac_hid uas ahci usb_storage psmouse r8169 libahci mii

-通知終了

これは突然突然現れたので、このようなアラートを突然受け取る理由について明確な理由を見つけることができませんでしたウェブ上の信頼できるページを読むこと以外はすべて)。

レベル13アラートの意味を調べましたが、 このページ によれば、次のことを意味します。

13 - Unusual error (high importance) - Most of the times it matches a common attack pattern.

だから今私はかなり心配している、私はアラートが実際に何を意味するのかわからない(私が送られたもの)ので、これが攻撃なのか他の何かなのかはわからない。だから本当に私の質問は明らかだと思います、これは何を意味するのか、心配することは何ですか、そうであれば、推奨されるアクションは何ですか?


OS情報:

Description:    Ubuntu 14.10
Release:    14.10
1
user364819

OSSECは、ログに記録されたメッセージのテキストのみに基づいて、何が起こっているかを正確に伝えるほど賢くはないことに留意してください。ログメッセージを自分で分析して、その原因を特定する必要があります。

受け取った通知には、/var/log/syslogの「サイズが大きすぎる」ため、OSSECが「標準外のsyslogメッセージ」を見つけたと書かれています。 syslogの大きなメッセージが「一般的な攻撃パターン」に何らかの形で関係しているとは言えませんが、気にしません。 OSSECは多くの誤検知を生成します。通知を生成したメッセージの意味を調査する必要があります。

幸いなことに、私はすでにこの種のメッセージを見てきました。 「リンク先モジュール:」の後にカーネルモジュールのリストが続くのは、通常、カーネルに関連する何らかの問題が発生し、コールトレースが生成された場合です。 syslogでこれを見つけました。

Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494210] ------------[ cut here ]------------
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494257] WARNING: CPU: 0 PID: 0 at /build/buildd/linux-3.19.0/drivers/gpu/drm/i915/intel_display.c:9713 intel_check_page_flip+0xda/0xf0 [i915]()
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494259] Kicking stuck page flip: queued at 2514658, now 2514665
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494260] Modules linked in: ctr ccm rndis_Host cdc_ether usbnet mii uas usb_storage nls_utf8 btrfs xor raid6_pq ufs qnx4 hfsplus hfs minix ntfs msdos jfs xfs libcrc32c cpuid pci_stub vboxpci(OE) vboxnetadp(OE) vboxnetflt(OE) vboxdrv(OE) binfmt_misc snd_hda_codec_hdmi i915 arc4 uvcvideo iwlmvm mac80211 videobuf2_vmalloc btusb intel_rapl videobuf2_memops iwlwifi iosf_mbi bluetooth x86_pkg_temp_thermal videobuf2_core intel_powerclamp v4l2_common videodev snd_hda_codec_realtek media snd_hda_codec_generic cfg80211 snd_hda_intel snd_hda_controller kvm_intel snd_hda_codec kvm snd_hwdep snd_pcm snd_seq_midi snd_seq_midi_event crct10dif_pclmul snd_rawmidi crc32_pclmul ghash_clmulni_intel snd_seq snd_seq_device Dell_laptop snd_timer Dell_wmi dcdbas snd aesni_intel aes_x86_64 soundcore sparse_keymap i8k lrw gf128mul drm_kms_helper glue_helper ablk_helper cryptd joydev 8250_fintek serio_raw shpchp drm mei_me Dell_smo8800 wmi mei i2c_algo_bit lpc_ich video mac_hid coretemp parport_pc ppdev lp parport autofs4 e1000e ptp pps_core ahci psmouse sdhci_pci libahci sdhci
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494340] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G           OE  3.19.0-14-generic #14-Ubuntu
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494341] Hardware name: Dell Inc. Latitude E5440/078YP3, BIOS A10 12/18/2014
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494343]  ffffffffc0a9fe10 ffff88011ea03d28 ffffffff817c2205 0000000000000007
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494345]  ffff88011ea03d78 ffff88011ea03d68 ffffffff8107595a ffff88011ea03d88
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494348]  ffff880118f19000 ffff8800d97b8800 0000000000000000 ffff8800d97b89a8
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494351] Call Trace:
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494353]  <IRQ>  [<ffffffff817c2205>] dump_stack+0x45/0x57
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494370]  [<ffffffff8107595a>] warn_slowpath_common+0x8a/0xc0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494372]  [<ffffffff810759d6>] warn_slowpath_fmt+0x46/0x50
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494390]  [<ffffffffc0a4ba3a>] intel_check_page_flip+0xda/0xf0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494411]  [<ffffffffc0a18948>] ironlake_irq_handler+0x2e8/0xfd0 [i915]
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494416]  [<ffffffff813bd824>] ? timerqueue_del+0x24/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494421]  [<ffffffff810956ff>] ? notifier_call_chain+0x4f/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494425]  [<ffffffff810cd5f7>] handle_irq_event_percpu+0x77/0x1a0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494428]  [<ffffffff810cd761>] handle_irq_event+0x41/0x70
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494432]  [<ffffffff810d07ce>] handle_Edge_irq+0x6e/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494435]  [<ffffffff81017772>] handle_irq+0x22/0x40
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494438]  [<ffffffff817cc27f>] do_IRQ+0x4f/0xf0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494448]  [<ffffffff817ca0ed>] common_interrupt+0x6d/0x6d
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494449]  <EOI>  [<ffffffff816643d5>] ? cpuidle_enter_state+0x65/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494453]  [<ffffffff816643c1>] ? cpuidle_enter_state+0x51/0x160
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494456]  [<ffffffff816645b7>] cpuidle_enter+0x17/0x20
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494459]  [<ffffffff810b6a41>] cpu_startup_entry+0x311/0x3b0
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494463]  [<ffffffff817b6ad7>] rest_init+0x77/0x80
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494466]  [<ffffffff81d4cfce>] start_kernel+0x482/0x48f
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494469]  [<ffffffff81d4c120>] ? early_idt_handlers+0x120/0x120
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494472]  [<ffffffff81d4c4d7>] x86_64_start_reservations+0x2a/0x2c
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494474]  [<ffffffff81d4c61c>] x86_64_start_kernel+0x143/0x152
Apr 17 14:37:57 S6-STI-N04 kernel: [44610.494476] ---[ end trace 0b755d956a43fb36 ]---

2行目でわかるように、そのメッセージのチェーンは、GPUドライバー(の警告)によって発生しました。当時は珍しいことは何も思い出せません。私のシステムがクラッシュしなかったので、私はすべてが大丈夫だと思います。

ログで「ここでカット」と「トレースを終了」を検索して、そのメッセージの原因を見つけてください。

2
Eric Carvalho

エリックが言ったように、アラートのレベルは単なる分類であり、心配するかどうかを判断するために知っておく必要のある情報をほとんど提供しません。たとえば、最初にsshを介してアカウントをハッキングしようとすると、レベル3のアラートとして表示されますが、より深刻な事態につながる可能性があります。警告レベルに続くテキストは、はるかに興味深いものです。

非標準のsyslogメッセージ(サイズが大きすぎます)。

実際のルールは次のとおりです。

<rule id="1003" level="13" maxsize="1025"> <description>Non standard syslog message (size too large).</description> </rule>

ログファイルの行が1025文字を超えています。あなたの場合、これはセキュリティの問題のようには見えません。これらの多くを取得している場合は、構成ファイルを編集してフィルターで除外できます。ログファイルに送信される長いメッセージに関する懸念は、誰かが過度に長いURLをWebサーバーに要求または送信しようとすることにより、バッファーオーバーラン攻撃を試みていることを示している可能性があることです。だから、コンテキストがすべてです。

1
Rick Chatham