projects / ossec-hids.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
new upstream release (3.3.0); modify package compatibility for Stretch
[ossec-hids.git] / contrib / ossec-testing / tests / sshd.ini
1 [SSHD configuration error (AuthorizedKeysCommand)]
2 log 1 pass = Feb  9 11:44:56 someserver sshd[1234]: error: Could not stat AuthorizedKeysCommand "/usr/local/sbin/ssh-ldap-authorized_keys": No such file or directory
3
4 rule = 5739
5 alert = 4
6 decoder = sshd
7
8 [ssh connection reset by peer]
9 log 1 pass = Feb 10 23:21:05 someserver sshd[1234]: Read error from remote host 192.168.1.1: Connection reset by peer
10
11 rule = 5740
12 alert = 4
13 decoder = sshd
14
15 [ssh connection refused]
16 log 1 pass = Feb 11 06:41:50 someserver sshd[1234]: debug1: channel 5: connection failed: Connection refused
17
18 rule = 5741
19 alert = 4
20 decoder = sshd
21
22 [ssh connection timed out]
23 log 1 pass = Feb 12 17:45:09 someserver sshd[1234]: debug1: channel 3: connection failed: Connection timed out
24
25 rule = 5742
26 alert = 4
27 decoder = sshd
28
29 [ssh no route to host]
30 log 1 pass = Jan 30 18:55:24 someserver sshd[1234]: debug1: channel 1: connection failed: No route to host
31
32 rule = 5743
33 alert = 4
34 decoder = sshd
35
36 [ssh port forwarding issue]
37 log 1 pass = Feb 13 22:54:51 someserver sshd[1234]: debug1: server_input_channel_open: failure direct-tcpip
38
39 rule = 5744
40 alert = 4
41 decoder = sshd
42
43 [ssh transport endpoint is not connected]
44 log 1 pass = Feb  6 12:28:17 someserver sshd[1234]: debug1: getpeername failed: Transport endpoint is not connected
45
46 rule = 5745
47 alert = 4
48 decoder = sshd
49
50 [ssh get_remote_port failed]
51 log 1 pass = Feb  6 12:28:17 someserver sshd[1234]: debug1: get_remote_port failed
52
53 rule = 5746
54 alert = 4
55 decoder = sshd
56
57 [ssh bad client public DH value]
58 log 1 pass = Feb  4 23:05:57 someserver sshd[1234]: Disconnecting: bad client public DH value [preauth]
59 log 1 pass = Feb  4 23:05:57 someserver sshd[1234]: Disconnecting: bad client public DH value
60
61 rule = 5747
62 alert = 6
63 decoder = sshd
64
65 [ssh corrupted MAC on input]
66 log 1 pass = Feb 14 14:34:15 someserver sshd[1234]: Corrupted MAC on input. [preauth]
67 log 2 pass = Nov 22 19:24:55 server sshd[4046]: Corrupted MAC on input.
68
69 rule = 5748
70 alert = 6
71 decoder = sshd
72
73 [ssh bad packet length]
74 log 1 pass = Mar  4 13:34:59 someserver sshd[5396]: Bad packet length 4081586742. [preauth]
75 log 2 pass = Mar  4 13:34:59 someserver sshd[5396]: Bad packet length 4081586742.
76
77 rule = 5749
78 alert = 4
79 decoder = sshd
80
81 [ssh unable to negotiate]
82 log 1 pass = Mar  3 10:56:18 junction sshd[32065]: fatal: Unable to negotiate with 202.191.177.33 port 3579: no matching cipher found. Their offer: 3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc [preauth]
83
84 rule = 5753
85 alert = 2
86 decoder = sshd
87
88 [ssh no matching key exchange]
89 log 1 pass = Sep 16 05:46:56 junction sshd[1961]: fatal: Unable to negotiate with 108.229.36.174: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1 [preauth]
90 log 2 pass = Apr 18 21:27:08 web2 sshd[23484]: fatal: Unable to negotiate a key exchange method [preauth]
91
92 rule = 5752
93 alert = 2
94 decoder = sshd
95
96 [invalid user]
97 log 1 pass = 2013-10-30T14:51:21.901728+01:00 srv sshd[12664]: Postponed keyboard-interactive for invalid user warez from 192.241.237.101 port 54197 ssh2 [preauth]
98 log 2 pass = 2013-10-30T14:51:24.140565+01:00 srv sshd[12664]: Failed keyboard-interactive/pam for invalid user warez from 192.241.237.101 port 54197 ssh2
99 log 3 fail = 2013-10-30T14:51:24.139258+01:00 srv sshd[12664]: error: PAM: User not known to the underlying authentication module for illegal user warez from 192.241.237.101
100 log 4 pass = 2013-10-30T14:51:30.267401+01:00 srv sshd[12671]: Invalid user opcione from 192.241.237.101
101 log 5 fail = 2013-10-30T14:51:30.267906+01:00 srv sshd[12671]: input_userauth_request: invalid user opcione [preauth]
102
103 rule = 5710
104 alert = 5
105 decoder = sshd
106
107 [failed to create session]
108 log 1 pass = May  4 17:48:43 collectd sshd[15044]: pam_systemd(sshd:session): Failed to create session: Access denied
109
110 rule = 5754
111 alert = 1
112 decoder = sshd
113
114 [bad authorized_keys]
115 log 1 pass = May  4 18:30:04 collectd sshd[15191]: Authentication refused: bad ownership or modes for file /home/ansible/.ssh/authorized_keys
116
117 rule = 5755
118 alert = 2
119 decoder = sshd
120
121 [subsystem failed]
122 log 1 pass = May  5 05:00:38 junction sshd[28395]: subsystem request for netconf by user checker failed, subsystem not found
123
124 rule = 5756
125 alert = 0
126 decoder = sshd
127
128 [login failed]
129 log 1 pass = Aug 18 07:30:25 192.168.1.5 sshd[20247]: [ID 800047 auth.notice] Failed none for root from 192.168.1.1 port 36942 ssh2
130
131 rule = 5716
132 alert = 5
133 decoder = sshd
134
135 [bad dns]
136 log 1 pass = Oct 20 12:33:07 ar-agent sshd[3433]: Address 192.168.18.54 maps to nmap.18.168.192.in-addr.arpa, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
137
138 rule = 5757
139 alert = 0
140 decoder = sshd
141
142 [max auth attempts]
143 log 1 pass = Dec 27 03:23:51 r1 sshd[21183]: error: maximum authentication attempts exceeded for root from 183.106.179.x port 34100 ssh2 [preauth]
144 log 2 fail = Aug 31 10:19:36 hostname sshd[12079]: error: maximum authentication attempts exceeded for invalid user service from 202.188.45.36 port 37313 ssh2 [preauth]
145
146 rule = 5758
147 alert = 8
148 decoder = sshd
149
150 [bad protocol]
151 log 1 pass = Jun 28 19:35:39 xxx sshd[30255]: Bad protocol version identification '' from 188.18.81.21 port 60787
152
153 rule = 5701
154 alert = 8
155 decoder = sshd
156
157 [blocked by tcpwrapper]
158 log 1 pass = Aug 30 18:12:54 hostname sshd[25350]: refused connect from 103.79.143.159 (103.79.143.159)
159
160 rule = 2503
161 alert = 5
162 decoder = sshd
163
ossec-hids