« LINUX:Wazuh-Décodeurs et Règles » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 725 : | Ligne 725 : | ||
=5<sup>ème</sup> cas= | =5<sup>ème</sup> cas= | ||
J'ai un site Web de type | J'ai un site Web de type WordPress. Le moyen commun d'accéder à ce type de site pour le modifier est d'effectuer une authentification. Le script "wp-login.php" permet cet accès. Je désire d'abord être averti si quelqu'un veut y accéder alors que personne n'en a besoin. Ensuite je veux bloquer tout autre appel de ce script pour une URL inexistante. | ||
==Requête type du journal d'HTTP== | ==Requête type du journal d'HTTP== | ||
Dans notre journal "/var/log/access_log", nous sélectionnons quelques exemples qui nous permettrons de tester | Dans notre journal "/var/log/access_log", nous sélectionnons quelques exemples qui nous permettrons de tester nos règles. | ||
En voici quatre: | En voici quatre: | ||
| Ligne 741 : | Ligne 741 : | ||
143.110.247.244 - - [20/Dec/2021:18:23:27 +0100] "GET /outil/wp-login.php HTTP/1.1" 301 243 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" | 143.110.247.244 - - [20/Dec/2021:18:23:27 +0100] "GET /outil/wp-login.php HTTP/1.1" 301 243 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" | ||
---- | ---- | ||
Les deux premiers sont acceptés mais demandent un avertissement par mail. Les deux | Les deux premiers sont acceptés mais demandent un avertissement par mail. Les deux suivants nécessitent un blocage. | ||
| Ligne 777 : | Ligne 777 : | ||
</group> | </group> | ||
---- | ---- | ||
Une des règles 31100, 31101 ou 31108 a été activée selon le n° d'erreur d'HTTP. Nous | Une des règles 31100, 31101 ou 31108 a été activée selon le n° d'erreur d'HTTP. Nous en héritons dans la première règle qui a pour but de repérer dans l'URL l'utilisation du script PHP "/wp-login.php". Son niveau est 0 car cette règle ne sert que de filtrage intermédiaire. | ||
Les deux règles suivantes héritent de cette première règle. | Les deux règles suivantes héritent de cette première règle. | ||
La deuxième règle repère l'appel de ce script existant sur mon site dans le champs "url". Une alerte de niveau 5 est émise afin qu'un mail soit envoyé. Cette limite est définie dans le fichier de configuration du serveur comme vu précédement (section <alerts>, option <email_alert_level>). Si on ne veut pas d'alerte, on met ce niveau à 0 ou tout au moins en dessus de 5. | La deuxième règle repère l'appel de ce script existant sur mon site dans le champs "url". Une alerte de niveau 5 est émise afin qu'un mail soit envoyé. Cette limite est définie dans le fichier de configuration du serveur comme vu précédement (section <alerts>, option <email_alert_level>). Si on ne veut pas d'alerte, on met ce niveau à 0 ou tout au moins en dessus de 5 dans mon cas. | ||
La troisième règle est la négation | La troisième règle est la négation de la seconde par la présence d'un point d'exclamation ("!") devant la chaîne recherchée dans le champs "url". Elle émet une alerte de niveau 7. | ||
==Validation== | ==Validation== | ||
Après l'ajout | Après l'ajout des règles, on lance de nouveau la commande pour vérification: | ||
/var/ossec/bin/wazuh-logtest | /var/ossec/bin/wazuh-logtest | ||
On commence par un accès au site avec le premier message du journal. | On commence par un accès au site avec le premier message du journal. | ||