debian/ossec-hids/var/ossec/rules/dropbear_rules.xml

   1   <!-- Copyright 2010 Dan Parriott (ddpbsd@gmail.com)
   2   -  This program is a free software; you can redistribute it
   3   -  and/or modify it under the terms of the GNU General Public
   4   -  License (version 2) as published by the FSF - Free Software
   5   -  Foundation.
   6   -
   7   -  License details: http://www.gnu.org/licenses/old-licenses/gpl-2.0.html
   8   -->
   9
  10
  11
  12 <!-- Modify it at your will. -->
  13
  14 <group name="syslog,sshd,dropbear">
  15
  16   <rule id="51000" level="0" noalert="1">
  17     <decoded_as>dropbear</decoded_as>
  18     <description>Grouping for dropbear rules.</description>
  19   </rule>
  20
  21   <rule id="51001" level="1">
  22     <if_sid>51000</if_sid>
  23     <match>Failed to get kex value</match>
  24     <description>Failed to get key exchange value</description>
  25   </rule>
  26
  27   <rule id="51002" level="1">
  28     <if_sid>51000</if_sid>
  29     <match>Premature kexdh_init message received</match>
  30     <description>Premature kexdh_init message</description>
  31   </rule>
  32
  33   <rule id="51003" level="5">
  34     <if_sid>51000</if_sid>
  35     <match>bad password attempt for</match>
  36     <description>Bad password attempt.</description>
  37     <group>authentication_failed,</group>
  38   </rule>
  39
  40   <rule id="51093" level="5">
  41     <if_sid>51000</if_sid>
  42     <match>attempt for nonexistent user</match>
  43     <description>Bad password attempt for non existent user.</description>
  44     <group>authentication_failed,</group>
  45   </rule>
  46
  47   <rule id="51004" level="10" frequency="6" timeframe="120" ignore="60">
  48     <if_matched_group>authentication_failed</if_matched_group>
  49     <same_source_ip />
  50     <description>dropbear brute force attempt.</description>
  51     <group>authentication_failures,</group>
  52   </rule>
  53
  54   <rule id="51005" level="0">
  55     <if_sid>51000</if_sid>
  56     <regex>exit after auth \(\S+\): Disconnect received</regex>
  57     <description>User disconnected.</description>
  58   </rule>
  59
  60   <rule id="51006" level="2">
  61     <if_sid>51000</if_sid>
  62     <match>exit before auth</match>
  63     <description>Client exited before authentication.</description>
  64     <group>recon,</group>
  65   </rule>
  66
  67   <rule id="51007" level="10" frequency="6" timeframe="120" ignore="60">
  68     <if_matched_sid>51000</if_matched_sid>
  69     <same_source_ip />
  70     <description>dropbear brute force attempt.</description>
  71     <group>authentication_failures,</group>
  72   </rule>
  73
  74
  75   <rule id="51008" level="1">
  76     <if_sid>51000</if_sid>
  77     <match>Incompatible remote version</match>
  78     <description>Incompatible remote version.</description>
  79     <group>recon,</group>
  80   </rule>
  81
  82   <rule id="51009" level="0">
  83     <if_sid>51000</if_sid>
  84     <match>password auth succeeded for</match>
  85     <description>User successfully logged in using a password.</description>
  86     <group>authentication_success,</group>
  87   </rule>
  88
  89   <rule id="51010" level="0">
  90     <if_sid>51000</if_sid>
  91     <match>Pubkey auth succeeded</match>
  92     <description>User successfully logged in using a public key.</description>
  93     <group>authentication_success,</group>
  94   </rule>
  95
  96   <rule id="51011" level="1">
  97     <decoded_as>dropbear</decoded_as>
  98     <if_sid>1002</if_sid>
  99     <match>Error listening: Address already in use</match>
 100     <description>Dropbear cannot listen on port.</description>
 101   </rule>
 102
 103
 104 </group> <!-- SYSLOG,LOCAL -->
 105
 106
 107 <!-- EOF -->