Hoje vi um post interessante no linkedin sobre um bruteforce com mais de 300 tentativas seguidas vindos de um IP chinês.
Como você identificaria isso no Zabbix?
Vou usar um Grafana como exemplo, mas todo sistema tem suas próprias características que podem ser customizadas utilizando o mesmo fluxo demonstrado abaixo.
Primeiro precisamos identificar nos logs da sua aplicação o padrão em que o mesmo é escrito e identificar as tentativas de login com sucesso e sem sucesso.
O grafana escreve logs em /var/log/grafana/grafana.log e a linha escrita descrevendo um login sem sucesso/não autorizado é assim:
Ou seja, identificamos o erro pelo ‘path=/login status=401'
Então bora pro Zabbix!
Crie um item do tipo Zabbix Agent (Active) para leitura de logs de forma rotativa (logrt) e na chave identifique o caminho do arquivo a ser lido e o termo a ser buscado dentro do log.
Lembrando que todo item Zabbix Agent (Active) alguns parametros precisam estar configurados corretamente dentro do agent.conf, como o parametro ActiveServer, etc…
Observe que o tempo de armazenamento e intervalo de coleta são de escolhas suas e devem fazer sentido no ambiente em que seu monitoramento esta inserido…
Esse é o resultado desse item:
Agora que ja temos os logs, vamos criar a trigger que identificara um possível ataque.
Crie uma trigger baseado em contadores, defina:
T em 5m
O deve ser o termo desejado ‘path=/login status=401’
V >5, ou seja, acima de 5 tentativas deve alarmar
Essa trigger está verificando, nos últimos 5 minutos , quantas vezes o seu item de log logrt["/var/log/grafana/grafana.log","path=/login status=401"] retornou uma entrada contendo exatamente a string "path=/login status=401", e dispara se esse total for maior que 5.
Ou seja, você será alertado sempre que detectar um padrão forte de possíveis ataques de força-bruta (mais de 5 tentativas de login mal-sucedido em 5 minutos).
