etc/rules/vmpop3d_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/vmpop3d_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Official rules for vm-pop3d.
   4   -
   5   -  License: http://www.ossec.net/en/licensing.html
   6   -->
   7
   8
   9 <group name="syslog,vm-pop3d,">
  10   <rule id="9800" level="0" noalert="1">
  11     <decoded_as>vm-pop3d</decoded_as>
  12     <description>Grouping for the vm-pop3d rules.</description>
  13   </rule>
  14
  15   <rule id="9801" level="5">
  16     <if_sid>9800</if_sid>
  17     <match>failed auth</match>
  18     <group>authentication_failed,</group>
  19     <description>Login failed accessing the pop3 server.</description>
  20   </rule>
  21
  22   <rule id="9820" level="10" frequency="6" timeframe="240">
  23     <if_matched_sid>9801</if_matched_sid>
  24     <same_source_ip />
  25     <description>POP3 brute force (multiple failed logins).</description>
  26     <group>authentication_failures,</group>
  27   </rule>
  28
  29 </group>
  30
  31
  32 <!-- EOF -->