Host Intrusion Detection System Administrator's Guide Release 3.1

Contents

Type I: Path Names to [Not] Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Type II: Path Names/Programs Pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Type III: UIDs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Type IV: UID Pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Type V: Network Triplets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Type VI: Time Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Type VII: Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Type VIII: Scalars. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Buffer Overﬂow Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Execute on Stack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Unusual Argument Length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Argument with Nonprintable Character. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Race Condition Template. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

File Reference Modiﬁcation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Privileged setuid Script Executed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Modiﬁcation of ﬁles/directories Template. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

File Being Modiﬁed. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

Changes to Log File Template. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Append-Only File Being Modiﬁed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Creation and Modiﬁcation of Setuid File Template . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Setuid File Created or Modiﬁed. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Creation of World-Writable File Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

World-Writable File Created . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

Modiﬁcation of Another User’s File Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Non-Owned File Being Modiﬁed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Login/Logout Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Login/Logout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Successful su Detected . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Repeated Failed Logins Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

Failed Login Attempts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Repeated Failed su Commands Template. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

Repeated Failed su Attempts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

Template Conﬁguration Syntax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

B. Automated Response

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186