contrib/ossec-testing/tests/web_appsec.ini

   1 [WordPress Comment Spam (coming from a fake search engine UA).]
   2 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /wp-comments-post.php HTTP/1.1" 403 181 "-" "Googlebot/1
   3 log 2 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /wp-comments-post.php HTTP/1.1" 403 181 "-" "msnbot/1
   4 log 3 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /wp-comments-post.php HTTP/1.1" 403 181 "-" "BingBot/1
   5
   6 rule = 31501
   7 alert = 6
   8 decoder = web-accesslog
   9
  10
  11 [TimThumb vulnerability exploit attempt.]
  12 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /examplethumb.php?src=example.php HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  13
  14 rule = 31502
  15 alert = 6
  16 decoder = web-accesslog
  17
  18
  19 [osCommerce login.php bypass attempt.]
  20 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /example.php/login.php?cPath= HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  21
  22 rule = 31503
  23 alert = 6
  24 decoder = web-accesslog
  25
  26
  27 [osCommerce file manager login.php bypass attempt.]
  28 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /admin/example.php/login.php HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  29
  30 rule = 31504
  31 alert = 6
  32 decoder = web-accesslog
  33
  34
  35 [TimThumb backdoor access attempt.]
  36 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /example/cache/externalexample.php HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  37
  38 rule = 31505
  39 alert = 6
  40 decoder = web-accesslog
  41
  42
  43 [Cart.php directory transversal attempt.]
  44 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /examplecart.php?exampletemplatefile=../ HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  45
  46 rule = 31506
  47 alert = 6
  48 decoder = web-accesslog
  49
  50
  51 [MSSQL Injection attempt (ur.php, urchin.js).]
  52
  53 rule = 31507
  54 alert = 6
  55 decoder = web-accesslog
  56
  57 [Blacklisted user agent (known malicious user agent).]
  58 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "ZmEu"
  59 log 2 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "libwww-perl/1.1 (X11)"
  60 log 3 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "the beast"
  61 log 4 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "Morfeus"
  62 log 5 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "ZmEu (X11)"
  63 log 6 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "Nikto (X11)"
  64 log 7 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "w3af.sourceforge.net (X11)"
  65 log 8 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET / HTTP/1.1" 403 181 "-" "MJ12bot/v (X11)"
  66
  67 rule = 31508
  68 alert = 6
  69 decoder = web-accesslog
  70
  71
  72 [CMS (WordPress or Joomla) login attempt.]
  73 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /example/wp-login.php HTTP/1.1" 200 181 "-" "Mozilla/5.0 (X11)"
  74 log 2 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /administrator HTTP/1.1" 200 181 "-" "Mozilla/5.0 (X11)"
  75 rule = 31509
  76 alert = 3
  77 decoder = web-accesslog
  78
  79
  80 # Can't yet test repeat logs  <rule id="31510" level="8" frequency="6" timeframe="30">
  81 ;[CMS (WordPress or Joomla) brute force attempt.]
  82 ;
  83 ;rule = 31510
  84 ;alert = 8
  85 ;decoder = web-accesslog
  86
  87 [Blacklisted user agent (wget).]
  88 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /index.html? HTTP/1.1" 200 4617 "-" "Wget/1.15 (linux-gnu)"
  89
  90 rule = 31511
  91 alert = 0
  92 decoder = web-accesslog
  93
  94 [Uploadify vulnerability exploit attempt.]
  95 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /example/uploadify.php?src=http://example.php HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
  96
  97 rule = 31512
  98 alert = 6
  99 decoder = web-accesslog
 100
 101 [BBS delete.php exploit attempt.]
 102 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET example/delete.php?board_skin_path=http://example.php HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
 103
 104 rule = 31513
 105 alert = 6
 106 decoder = web-accesslog
 107
 108 [Simple shell.php command execution.]
 109 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET example/shell.php?cmd= HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
 110
 111 rule = 31514
 112 alert = 6
 113 decoder = web-accesslog
 114
 115 [PHPMyAdmin scans (looking for setup.php).]
 116 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 117
 118 rule = 31515
 119 alert = 6
 120 decoder = web-accesslog
 121
 122 [Suspicious URL access.]
 123 log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /db/config.php.swp HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 124 log 2 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /db/config.php.bak HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 125 log 3 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /db/.htaccess HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 126 log 4 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /server-status HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 127 log 5 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /.ssh HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 128 log 6 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /.history HTTP/1.1" 404 4617 "-" "Mozilla/15 (linux-gnu)"
 129
 130 rule = 31516
 131 alert = 6
 132 decoder = web-accesslog
 133
 134 [POST request received.]
 135 log 1 fail = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST / HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
 136
 137 rule = 31530
 138 alert = 3
 139 decoder = web-accesslog
 140
 141 [Ignoring often post requests inside /wp-admin and /admin.]
 142 log 1 fail = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /wp-admin HTTP/1.1" 200 181 "-" "Mozilla/5.0 (X11)"
 143 log 2 fail = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "POST /admin HTTP/1.1" 200 181 "-" "Mozilla/5.0 (X11)"
 144 rule = 31531
 145 alert = 0
 146 decoder = web-accesslog
 147
 148 # Can't currently test repeat requests <rule id="31533" level="10" timeframe="20" frequency="6">
 149 ;[High amount of POST requests in a small period of time (likely bot).]
 150 ;log 1 fail = 10.1.1.5 - - [29/Dec/2014:11:37:47 -0500] POST / HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
 151 ;rule = 31533
 152 ;alert = 10
 153 ;decoder = web-accesslog
 154
 155 # This never matches due to Rule web_rules.xml id: '31104' Description: 'Common web attack.'
 156 ;[Anomaly URL query (attempting to pass null termination).]
 157 ;log 1 pass = 10.0.0.5 - - [1/Apr/2014:00:00:01 -0500] "GET /example.php?example%00 HTTP/1.1" 403 181 "-" "Mozilla/5.0 (X11)"
 158 ;
 159 ;rule = 31550
 160 ;alert = 6
 161 ;decoder = web-accesslog