etc/rules/named_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/named_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Example of Named rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <group name="syslog,named,">
  18   <rule id="12100" level="0">
  19     <decoded_as>named</decoded_as>
  20     <description>Grouping of the named rules</description>
  21   </rule>
  22
  23   <rule id="12101" level="12">
  24     <if_sid>12100</if_sid>
  25     <match>dropping source port zero packet from</match>
  26     <description>Invalid DNS packet. Possibility of attack.</description>
  27     <group>invalid_access,</group>
  28   </rule>
  29
  30   <rule id="12102" level="9">
  31     <if_sid>12100</if_sid>
  32     <match>denied AXFR from</match>
  33     <description>Failed attempt to perform a zone transfer.</description>
  34     <group>access_denied,</group>
  35   </rule>
  36
  37   <rule id="12103" level="4">
  38     <if_sid>12100</if_sid>
  39     <match>denied update from|unapproved update from</match>
  40     <description>DNS update denied. </description>
  41     <description>Generally mis-configuration.</description>
  42     <info type="link">http://seclists.org/incidents/2000/May/217</info>
  43     <group>client_misconfig,</group>
  44   </rule>
  45
  46   <rule id="12104" level="4">
  47     <if_sid>12100</if_sid>
  48     <match>unable to rename log file</match>
  49     <description>Log permission misconfiguration in Named.</description>
  50     <group>system_error,</group>
  51   </rule>
  52
  53   <rule id="12105" level="4">
  54     <if_sid>12100</if_sid>
  55     <match>unexpected RCODE </match>
  56     <description>Unexpected error while resolving domain.</description>
  57   </rule>
  58
  59   <rule id="12106" level="4">
  60     <if_sid>12100</if_sid>
  61     <match>refused notify from non-master</match>
  62     <description>DNS configuration error.</description>
  63   </rule>
  64
  65   <rule id="12107" level="0">
  66     <if_sid>12100</if_sid>
  67     <regex>update \S+ denied</regex>
  68     <description>DNS update using RFC2136 Dynamic protocol.</description>
  69   </rule>
  70
  71   <rule id="12108" level="0">
  72     <if_sid>12100</if_sid>
  73     <match>query (cache) denied|: query (cache)</match>
  74     <description>Query cache denied (probably config error).</description>
  75     <info type="link">http://www.reedmedia.net/misc/dns/errors.html</info>
  76   </rule>
  77
  78   <rule id="12109" level="12">
  79     <if_sid>12100</if_sid>
  80     <match>exiting (due to fatal error)</match>
  81     <description>Named fatal error. DNS service going down.</description>
  82     <group>service_availability,</group>
  83   </rule>
  84
  85   <rule id="12110" level="8">
  86     <regex>^zone \S+ serial number \S+ received from master </regex>
  87     <regex>\S+ \S ours (\S+)</regex>
  88     <description>Serial number from master is lower </description>
  89     <description>than stored.</description>
  90     <group>system_error,</group>
  91   </rule>
  92
  93   <rule id="12111" level="8">
  94     <regex>^transfer of \S+ from \S+ failed while receiving \S+ REFUSED</regex>
  95     <description>Unable to perform zone transfer.</description>
  96     <group>system_error,</group>
  97   </rule>
  98
  99   <rule id="12112" level="4">
 100     <regex>^zone \S+: expired</regex>
 101     <description>Zone transfer error.</description>
 102   </rule>
 103
 104   <rule id="12113" level="0">
 105     <if_sid>12100</if_sid>
 106     <match>zone transfer deferred due to quota</match>
 107     <description>Zone transfer deferred.</description>
 108   </rule>
 109
 110   <rule id="12114" level="1">
 111     <if_sid>12100</if_sid>
 112     <match>bad owner name (check-names)</match>
 113     <description>Hostname contains characters that check-names does not like.</description>
 114   </rule>
 115
 116   <rule id="12115" level="0">
 117     <if_sid>12100</if_sid>
 118     <match>loaded serial|transferred serial</match>
 119     <description>Zone transfer.</description>
 120   </rule>
 121
 122   <rule id="12116" level="1">
 123     <if_sid>12100</if_sid>
 124     <match>syntax error near|</match>
 125     <match>reloading configuration failed: unexpected token</match>
 126     <description>Syntax error in a named configuration file.</description>
 127   </rule>
 128
 129
 130   <rule id="12117" level="1">
 131     <if_sid>12100</if_sid>
 132     <regex>refresh: retry limit for master \S+ exceeded</regex>
 133     <description>Zone transfer rety limit exceeded</description>
 134   </rule>
 135
 136   <rule id="12118" level="1">
 137     <if_sid>12100</if_sid>
 138     <match>already exists previous definition</match>
 139     <description>Zone has been duplicated.</description>
 140   </rule>
 141
 142   <rule id="12119" level="3">
 143     <if_sid>12100</if_sid>
 144     <match>starting BIND</match>
 145     <description>BIND has been started</description>
 146   </rule>
 147
 148   <rule id="12120" level="1">
 149     <if_sid>12100</if_sid>
 150     <match>has no address records</match>
 151     <description>Missing A or AAAA record</description>
 152   </rule>
 153
 154   <rule id="12121" level="1">
 155     <if_sid>12100</if_sid>
 156     <regex>zone \S+: \(master\) removed</regex>
 157     <description>Zone has been removed from a master server</description>
 158   </rule>
 159
 160   <rule id="12122" level="1">
 161     <if_sid>12100</if_sid>
 162     <regex>loading from master file \S+ failed: not at top of zone$</regex>
 163     <description>Origin of zone and owner name of SOA do not match.</description>
 164   </rule>
 165
 166   <rule id="12123" level="0">
 167     <if_sid>12100</if_sid>
 168     <match>already exists previous definition</match>
 169     <description>Zone has been duplicated</description>
 170   </rule>
 171
 172   <rule id="12125" level="3">
 173     <if_sid>12100</if_sid>
 174     <match>reloading configuration failed: unexpected end of input</match>
 175     <description>BIND Configuration error.</description>
 176   </rule>
 177
 178   <rule id="12126" level="0">
 179     <if_sid>12100</if_sid>
 180     <regex>zone \S+: \(master\) removed</regex>
 181     <description>Zone has been removed from a master server</description>
 182   </rule>
 183
 184   <rule id="12127" level="1">
 185     <if_sid>12100</if_sid>
 186     <regex>loading from master file \S+ failed: not at top of zone$</regex>
 187     <description>Origin of zone and owner name of SOA do not match.</description>
 188   </rule>
 189
 190   <rule id="12128" level="1">
 191     <if_sid>12100</if_sid>
 192     <match>^transfer of|</match>
 193     <match>AXFR started$</match>
 194     <description>Zone transfer.</description>
 195   </rule>
 196
 197   <rule id="12129" level="4">
 198     <if_sid>12128</if_sid>
 199     <match>failed to connect: connection refused</match>
 200     <description>Zone transfer failed, unable to connect to master.</description>
 201   </rule>
 202
 203   <rule id="12130" level="2">
 204     <if_sid>12100</if_sid>
 205     <match>IPv6 interfaces failed</match>
 206     <description>Could not listen on IPv6 interface.</description>
 207   </rule>
 208
 209   <rule id="12131" level="2">
 210     <if_sid>12100</if_sid>
 211     <match>failed; interface ignored</match>
 212     <description>Could not bind to an interface.</description>
 213   </rule>
 214
 215   <rule id="12132" level="0">
 216     <if_sid>12128</if_sid>
 217     <match>failed while receiving responses: not authoritative</match>
 218     <description>Master is not authoritative for zone.</description>
 219   </rule>
 220
 221   <rule id="12133" level="4">
 222     <if_sid>12100</if_sid>
 223     <regex>open: \S+: permission denied$</regex>
 224     <description>Could not open configuration file, permission denied.</description>
 225   </rule>
 226
 227   <rule id="12134" level="4">
 228     <if_sid>12100</if_sid>
 229     <match>loading configuration: permission denied</match>
 230     <description>Could not open configuration file, permission denied.</description>
 231   </rule>
 232
 233   <rule id="12135" level="0">
 234     <if_sid>12100</if_sid>
 235     <match>IN SOA -E</match>
 236     <description>Domain in SOA -E.</description>
 237   </rule>
 238
 239   <rule id="12136" level="4">
 240     <if_sid>12128</if_sid>
 241     <match>failed to connect: host unreachable</match>
 242     <description>Master appears to be down.</description>
 243   </rule>
 244
 245   <rule id="12137" level="0">
 246     <if_sid>12100</if_sid>
 247     <match>IN AXFR -</match>
 248     <description>Domain is queried for a zone transferred.</description>
 249   </rule>
 250
 251   <rule id="12138" level="0">
 252     <if_sid>12100</if_sid>
 253     <match> IN A +</match>
 254     <description>Domain A record found.</description>
 255   </rule>
 256
 257   <rule id="12139" level="3">
 258     <if_sid>12100</if_sid>
 259     <regex>client \S+: bad zone transfer request: \S+: non-authoritative zone \(NOTAUTH\)</regex>
 260     <description>Bad zone transfer request.</description>
 261   </rule>
 262
 263   <rule id="12140" level="2">
 264     <if_sid>12100</if_sid>
 265     <match>refresh: failure trying master</match>
 266     <description>Cannot refresh a domain from the master server.</description>
 267   </rule>
 268
 269   <rule id="12141" level="1">
 270     <if_sid>12100</if_sid>
 271     <match>SOA record not at top of zone</match>
 272     <description>Origin of zone and owner name of SOA do not match.</description>
 273   </rule>
 274
 275   <rule id="12142" level="0">
 276     <if_sid>12100</if_sid>
 277     <match>command channel listening on</match>
 278     <description>named command channel is listening.</description>
 279   </rule>
 280
 281   <rule id="12143" level="0">
 282     <if_sid>12100</if_sid>
 283     <match>automatic empty zone</match>
 284     <description>named has created an automatic empty zone.</description>
 285   </rule>
 286
 287   <rule id="12144" level="9">
 288     <if_sid>12100</if_sid>
 289     <match>reloading configuration failed: out of memory</match>
 290     <description>Server does not have enough memory to reload the configuration.</description>
 291   </rule>
 292
 293   <rule id="12145" level="1">
 294     <if_sid>12100</if_sid>
 295     <regex>zone transfer \S+ denied</regex>
 296     <description>zone transfer denied</description>
 297   </rule>
 298
 299   <rule id="12146" level="0">
 300     <if_sid>12100</if_sid>
 301     <match>error sending response: host unreachable$</match>
 302     <description>Cannot send a DNS response.</description>
 303   </rule>
 304
 305   <rule id="12147" level="0">
 306     <if_sid>12100</if_sid>
 307     <regex>update forwarding \.+ denied$</regex>
 308     <description>Cannot update forwarding domain.</description>
 309   </rule>
 310
 311   <rule id="12148" level="0">
 312     <if_sid>12100</if_sid>
 313     <match>: parsing failed$</match>
 314     <description>Parsing of a configuration file has failed.</description>
 315   </rule>
 316
 317 </group> <!-- SYSLOG,NAMED -->