Pandora FMS community forums

Full Version: Intentos fallidos de Login.
You're currently viewing a stripped down version of our content. View the full version with proper formatting.
Pages: 1 2
Hola, sigo viendo la documentacion como un loco haber si puedo hacer un buen Pandora.
Ahora necesito ver los intentos de login que ha habido contra el usuario root fallidos por ssh. Quiero comprobar esto cada 5 minutos por lo que se tendría que actualizar la información cada 5 minutos.

Grax.
Hola buenas.

En nuestra libreria de módulos de pandorafms.com, tenemos un plugin que monitoriza logs. La idea seria monitorizar el log de ssh con este plugin. Junto al plugin podrás ver la documentación adjunta que te ayudará a configurarlo. El nombre es Log Parser. Este plugin únicamente es valido para linux.

Un saludo
Hola, eso suponia.
Les cuento mi idea. Leer el archivo de log cada 5 minutos y seleccionar solo los intentos de Login fallidos. Con el WC -l contarlos y si es mayor de 5, 10 o 15 hacer saltar una alerta (Desde Pandora) de fuerza bruta contra el server.

¿Ven algún modo más simple o alguna sugerencia?

Grax!
Te comento una manera simple que a lo mejor te podia valer:
El único inconveniente es que este tipo de modulos esta pensado para usarlos con trafico de datos y no con numeros naturales pero te propongo una solución a esto para que compruebes si resulta.

la configuración del modulo seria algo asi:

module_begin
module_name Log ssh
module_type generic_data_inc
module_exec cat <PATH_LOG> | grep cadena_texto_buscada | wc -l
module_postprocess 300
module_end

El module postprocess variara dependiendo de los segundos que tengas configurados en el intervalo del agente,
Este modulo si funciona correctamente, te tiene que devolver en cada intervalo el numero de entradas fallidas que se han dado. En realidad te devuelve el numero total, pero al ser un modulo de tipo incremental te hará la resta entre el dado devuelto en este momento y en el intervalo anterior.

Espero que te sirva de ayuda,.

Un saludo

Vale, muchas gracias, ya funciona aunque con algunos cambios que me ha pedido la empresa.
Ahora, viene otra cosa bastante más dificil.

Necesito hacer lo mismo con servidores Windows 2003 y 2008, con y sin Active Directory.
Aqui si que estoy perdido ya que siempre he sido debianita.

Muchas gracias.
Buenas

El metodo para conseguir ver los intentos fallidos en Windows es mediante este tipo de módulo:

http://www.openideas.info/wiki/index.php...e_logevent

Tendrás que tener en cuenta que dependiendo de la versión de Windows el número de Log cambia y en Windows 2003 se hace más complejo ya que dependiendo del motivo del login fallido se abre con un número de evento diferente.

Eventos 529 a 535 para W2003
Evento 4625 para W2008.

Un saludo
Hola,

Yo actualmente haciendo pruebas estaba utilizando el control del logs con el plugin de log4x, pero claro la base de datos se llenaba de datos y tampoco es el objetivo de pando recolectar logs como dice la documentacion.
He cambiado a los modulos y tengo puesto estos dos:

# Log events
module_begin
module_name System Errors
module_type generic_data_string
module_logevent
module_description System Error Events
module_source System
module_eventtype Error
module_end

module_begin
module_name Application Errors
module_type generic_data_string
module_logevent
module_description Application Error Events
module_source Application
module_eventtype Error
module_end

Actualmente estoy teniendo un par de eventos de error en el log 'Aplicación' del servidor donde esta el agente, este es un controlador de dominio con W2003, se producen a intervalos regulares y aparecen en pandora, pero en la columna DATA aparece 'N/A' cuando siendo una cadena yo me esperaba que pusiera 'Error' y a partir de ahi poder generar la alerta.
Que estoy haciendo mal?

Un saludo
Hola

Prueba con esta configuración tal y como te la pongo:

module_begin
module_name System Errors
module_type async_string
module_logevent
module_description System Error Events
module_source System
module_eventtype error
module_end

module_begin
module_name Application Errors
module_type async_string
module_logevent
module_description Application Error Events
module_source Application
module_eventtype error
module_end


Un saludo
Buenas
Se comporta de igual forma :

Hola Josep

¿Nos podrías decir que versión de windows esta usando?

Al parecer en algunas versiones, cuando no se configura el numero del evento esta ocurriendo esto. Recibe el evento pero no es capaz de mostrarlo por consola.

Un saludo
Pages: 1 2