debian/ossec-hids/usr/share/doc/ossec-hids/contrib/ossec-testing/tests/cpanel.ini

   1 [successful login]
   2 log 1 fail = [2016-04-18 13:07:02 -0400] info [cpsrvd] 10.1.5.19 - root - SUCCESS LOGIN whostmgrd
   3 log 2 fail = [2016-04-18 13:07:15 -0400] info [cpsrvd] 10.1.5.19 - reseller (possessor: root) - SUCCESS LOGIN cpaneld
   4 log 3 fail = [2016-04-18 13:08:27 -0400] info [cpsrvd] 10.1.5.19 - emailaccount@reseller.com (possessor: reseller) - SUCCESS LOGIN webmaild
   5
   6 rule = 11007
   7 alert = 3
   8 decoder = postgresql_log
   9
  10
  11 [cpanel attacks]
  12 log 1 fail = [2017-01-25 06:01:10 -0500] info [cpsrvd] 10.1.5.19 - test "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN cpaneld: invalid cpanel user test (loadcpdata failed)
  13
  14 rule = 11001
  15 alert = 5
  16 decoder = postgresql_log
  17
  18 [cpanel attacks 2]
  19 log 1 fail = [2016-11-18 09:32:19 +0000] info [cpsrvd] 10.1.5.19 - admin "POST /login/?login_only=1 HTTP/1.1" FAILED LOGIN whostmgrd: user password hash is missing from system (user probably does not exist)
  20
  21 rule = 11000
  22 alert = 5
  23 decoder = cpanel-login
  24
  25 [successful login 2]
  26 log 1 fail = [2016-04-18 13:07:02 +0400] info [cpsrvd] 10.1.5.19 - root - SUCCESS LOGIN whostmgrd
  27
  28 rule = 11006
  29 alert = 3
  30 decoder = cpanel-login
  31
  32 [session purge]
  33 log 1 fail = [2017-01-25 06:15:38 -0500] info [cpsrvd] 10.1.5.19 PURGE root:Nmm4xzhSpA2Sddv3 logout
  34
  35 rule = 11009
  36 alert = 3
  37 decoder = postgresql_log
  38