etc/rules/telnetd_rules.xml

   1 <!-- @(#) $Id$
   2   -  Telnetd rules for OSSEC.
   3   -  Author: Ahmet Ozturk
   4   -  License: http://www.ossec.net/en/licensing.html
   5   -->
   6
   7
   8 <group name="syslog,telnetd">
   9   <rule id="5600" level="0" noalert="1">
  10     <match>telnetd</match>
  11     <description>Grouping for the telnetd rules</description>
  12   </rule>
  13
  14   <rule id="5601" level="5">
  15     <if_sid>5600</if_sid>
  16     <match>refused connect from </match>
  17     <description>Connection refused by TCP Wrappers.</description>
  18   </rule>
  19
  20   <rule id="5602" level="3">
  21     <if_sid>5600</if_sid>
  22     <match>: connect from </match>
  23     <description>Remote host established a telnet connection.</description>
  24   </rule>
  25
  26   <rule id="5603" level="5" timeframe="1">
  27     <match>ttloop:  peer died:|ttloop:  read:</match>
  28     <if_matched_sid>5602</if_matched_sid>
  29     <description>Remote host invalid connection.</description>
  30   </rule>
  31
  32   <rule id="5604" level="5">
  33     <match>warning: can't verify hostname:</match>
  34     <description>Reverse lookup error (bad hostname config).</description>
  35   </rule>
  36
  37   <rule id="5631" level="10" frequency="6" timeframe="120">
  38     <if_matched_sid>5602</if_matched_sid>
  39     <same_source_ip />
  40     <description>Multiple connection attempts from same source </description>
  41     <description>(possible scan).</description>
  42   </rule>
  43
  44 </group> <!-- SYSLOG,TELNETD -->