-
Intentos fallidos de Login.
Hola, sigo viendo la documentacion como un loco haber si puedo hacer un buen Pandora.
Ahora necesito ver los intentos de login que ha habido contra el usuario root fallidos por ssh. Quiero comprobar esto cada 5 minutos por lo que se tendrÃa que actualizar la información cada 5 minutos.Grax.
-
19 Replies
-
Hola buenas.
En nuestra libreria de módulos de pandorafms.com, tenemos un plugin que monitoriza logs. La idea seria monitorizar el log de ssh con este plugin. Junto al plugin podrás ver la documentación adjunta que te ayudará a configurarlo. El nombre es Log Parser. Este plugin únicamente es valido para linux.
Un saludo
-
Hola, eso suponia.
Les cuento mi idea. Leer el archivo de log cada 5 minutos y seleccionar solo los intentos de Login fallidos. Con el WC -l contarlos y si es mayor de 5, 10 o 15 hacer saltar una alerta (Desde Pandora) de fuerza bruta contra el server.¿Ven algún modo más simple o alguna sugerencia?
Grax!
-
Te comento una manera simple que a lo mejor te podia valer:
El único inconveniente es que este tipo de modulos esta pensado para usarlos con trafico de datos y no con numeros naturales pero te propongo una solución a esto para que compruebes si resulta.la configuración del modulo seria algo asi:
module_begin
module_name Log ssh
module_type generic_data_inc
module_exec cat| grep cadena_texto_buscada | wc -l
module_postprocess 300
module_endEl module postprocess variara dependiendo de los segundos que tengas configurados en el intervalo del agente,
Este modulo si funciona correctamente, te tiene que devolver en cada intervalo el numero de entradas fallidas que se han dado. En realidad te devuelve el numero total, pero al ser un modulo de tipo incremental te hará la resta entre el dado devuelto en este momento y en el intervalo anterior.Espero que te sirva de ayuda,.
Un saludo
-
Vale, muchas gracias, ya funciona aunque con algunos cambios que me ha pedido la empresa.
Ahora, viene otra cosa bastante más dificil.Necesito hacer lo mismo con servidores Windows 2003 y 2008, con y sin Active Directory.
Aqui si que estoy perdido ya que siempre he sido debianita.Muchas gracias.
-
Buenas
El metodo para conseguir ver los intentos fallidos en Windows es mediante este tipo de módulo:
Tendrás que tener en cuenta que dependiendo de la versión de Windows el número de Log cambia y en Windows 2003 se hace más complejo ya que dependiendo del motivo del login fallido se abre con un número de evento diferente.
Eventos 529 a 535 para W2003
Evento 4625 para W2008.Un saludo
-
Hola,
Yo actualmente haciendo pruebas estaba utilizando el control del logs con el plugin de log4x, pero claro la base de datos se llenaba de datos y tampoco es el objetivo de pando recolectar logs como dice la documentacion.
He cambiado a los modulos y tengo puesto estos dos:# Log events
module_begin
module_name System Errors
module_type generic_data_string
module_logevent
module_description System Error Events
module_source System
module_eventtype Error
module_endmodule_begin
module_name Application Errors
module_type generic_data_string
module_logevent
module_description Application Error Events
module_source Application
module_eventtype Error
module_endActualmente estoy teniendo un par de eventos de error en el log ‘Aplicación’ del servidor donde esta el agente, este es un controlador de dominio con W2003, se producen a intervalos regulares y aparecen en pandora, pero en la columna DATA aparece ‘N/A’ cuando siendo una cadena yo me esperaba que pusiera ‘Error’ y a partir de ahi poder generar la alerta.
Que estoy haciendo mal?Un saludo
-
Hola
Prueba con esta configuración tal y como te la pongo:
module_begin
module_name System Errors
module_type async_string
module_logevent
module_description System Error Events
module_source System
module_eventtype error
module_endmodule_begin
module_name Application Errors
module_type async_string
module_logevent
module_description Application Error Events
module_source Application
module_eventtype error
module_endUn saludo
-
-
-
-
-
Buenas,
Ahora que recuerdo al respecto, tuve que modificar el script ‘logevent_log4x.vbs’ para que funcionase, quedo:
‘The XML files need the have the fields SEVERITY, MESSAGE and
‘STACKTRACE. These are the fields that are often used when logging with
‘log4j. Just in case, the severity field can have the following values:
‘TRACE, DEBUG, INFO, WARN, ERROR, FATAL. The “message” field is justFor Each objEvent in colEvents
‘Â Â if (objEvent.Type = “0”) then
‘ severity = “FATAL”
‘ end if
‘
‘ if (objEvent.Type = “1”) then
‘ severity = “ERROR”
‘ end if
‘
‘ if (objEvent.Type = “2”) then
‘ severity = “WARN”
‘ end if
‘
‘ if (objEvent.Type >= “3”) then
‘ severity = “INFO”
‘ end ifseverity = objEvent.Type
stacktrace = “Category: ” & objEvent.CategoryString & “, Event Code: ” & objEvent.EventCode & “, Source Name: ” & objEvent.SourceName & “, LogFile: ” & cfg_logfile
ya que en este server w2003 la propiedad Type devuelve la cadena propiamente.
No he probado el otros SO.Un saludo,
-
Hola Josep
Mientras que solucionamos los errores con el agente de Windows, te podrÃa valer la creación de una plantilla de eventos con estas caracteristicas.
Condition
Priority – Critical
Condition type – AlwaysFiring
Min y max number of alerts 0Si tenéis configurado el modulo como lo indique, de tipo asincrono, se os generará una alerta cada vez que haya un evento de este tipo.
Un saludo
-
Hola Mario,
Perfecto, he configurado la plantilla tal como indicas y ya estoy recibiendo correos de las alertas generadas.
En vista de ello quisiera probar el mismo esquema de actuacion con ‘Advertencias’, el este caso corresponden a los eventos generados por el ‘Servicio de directorio’, tengo unos eventos que se generan mas o menos cada 24h de advertencia en la replicacion. La cuestion que no tengo clara es el nombre correcto de la fuente, he puesto :
module_begin
module_name AD Warnings
module_type async_string
module_logevent
module_description Active Diretory Warning Events
module_source Diretory Services
module_eventtype advertencia
module_endy preparare una plantilla con estas caracteristicas
Condition
Priority – Warning
Condition type – AlwaysFiring
Min y max number of alerts 0que opinas?
Un saludo
-
Yo harÃa esta configuración:
module_begin
module_name AD Warnings
module_type async_string
module_logevent
module_description Active Diretory Warning Events
module_source Directory Services
module_eventtype warning
module_endRespecto a la configuración de la alerta, es correcta!
Un saludo
-
-
-
