Este artículo demuestra cómo personalizar un servicio en logwatch para evitar falsos positivos detectados como ataques ^null$ provocados por respuestas HTTP 408 de Apache. A tal fin se debe editar el script Perl del servicio (http) y desactivar el exploit correspondiente.

Estos falsos positivos detectados como ataques null generan una gran cantidad de entradas en el resumen de Logwatch, lo cual entorpece su lectura.

Para personalizar un servicio de Logwatch es necesario copiarlo al directorio /etc/logwatch/ respetando su ruta a partir del directorio base /usr/share/logwatch/.

Copiar el script que se desea personalizar:

root@debian:~# cp /usr/share/logwatch/scripts/services/http /etc/logwatch/scripts/services/http

Editar la copia:

root@debian:~# nano /etc/logwatch/scripts/services/http

Para deshabilitar el exploit '^null$' se reemplaza el siguiente bloque:

#
#   what to look for as an attack  USE LOWER CASE!!!!!!
#
my @exploits = (
   '^null$',
   '/\.\./\.\./\.\./',
   '\.\./\.\./config\.sys',
   '/\.\./\.\./\.\./autoexec\.bat',
   '/\.\./\.\./windows/user\.dat',

Por:

#
#   what to look for as an attack  USE LOWER CASE!!!!!!
# Deshabilitado '^null$',
my @exploits = (
   '/\.\./\.\./\.\./',
   '\.\./\.\./config\.sys',
   '/\.\./\.\./\.\./autoexec\.bat',
   '/\.\./\.\./windows/user\.dat',

Guardar los cambios y salir. En la próxima ejecución de logwatch no se reportarán como ataques las respuestas 408 de Apache.

Compartí este artículo