etc/rules/telnetd_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/telnetd_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Telnetd rules for OSSEC.
   4   -  Author: Ahmet Ozturk
   5   -  License: http://www.ossec.net/en/licensing.html
   6   -->
   7
   8
   9 <group name="syslog,telnetd">
  10   <rule id="5600" level="0" noalert="1">
  11     <match>telnetd</match>
  12     <description>Grouping for the telnetd rules</description>
  13   </rule>
  14
  15   <rule id="5601" level="5">
  16     <if_sid>5600</if_sid>
  17     <match>refused connect from </match>
  18     <description>Connection refused by TCP Wrappers.</description>
  19   </rule>
  20
  21   <rule id="5602" level="3">
  22     <if_sid>5600</if_sid>
  23     <match>: connect from </match>
  24     <description>Remote host established a telnet connection.</description>
  25   </rule>
  26
  27   <rule id="5603" level="5" timeframe="1">
  28     <match>ttloop:  peer died:|ttloop:  read:</match>
  29     <if_matched_sid>5602</if_matched_sid>
  30     <description>Remote host invalid connection.</description>
  31   </rule>
  32
  33   <rule id="5604" level="5">
  34     <match>warning: can't verify hostname:</match>
  35     <description>Reverse lookup error (bad hostname config).</description>
  36   </rule>
  37
  38   <rule id="5631" level="10" frequency="6" timeframe="120">
  39     <if_matched_sid>5602</if_matched_sid>
  40     <same_source_ip />
  41     <description>Multiple connection attempts from same source </description>
  42     <description>(possible scan).</description>
  43   </rule>
  44
  45 </group> <!-- SYSLOG,TELNETD -->