Skip to content

fix: corregir reglas Wazuh reales en fases 2/4/8 + fix corrupción visual terminal#1

Open
Data-Unix wants to merge 2 commits into
masterfrom
fix/wazuh-reglas-fases-2-4-8
Open

fix: corregir reglas Wazuh reales en fases 2/4/8 + fix corrupción visual terminal#1
Data-Unix wants to merge 2 commits into
masterfrom
fix/wazuh-reglas-fases-2-4-8

Conversation

@Data-Unix
Copy link
Copy Markdown
Owner

@Data-Unix Data-Unix commented May 25, 2026

Resumen

Correcciones derivadas de pruebas reales en laboratorio (VM100 Kali + VM106 T-Pot + VM103 Fail2Ban). Las reglas Wazuh mostradas en demo no coincidían con las que realmente disparan en el entorno.

Cambios

Reglas Wazuh corregidas

  • Fase 2 (web): 100014 nunca dispara con ffuf → sustituida por 100040 real (cadena: errores 503 → regla base 31123 → correlación 100040)
  • Fase 4 (Cowrie fail): 100010 nunca dispara en este flujo → eliminada; solo 100040 salta tras intentos fallidos
  • Las reglas mostradas ahora reflejan el comportamiento real verificado en Wazuh Manager

Fase 8 Dionaea — sesión interactiva real

  • Reemplazado impacket-smbclient/mssqlclient (incompatible con Dionaea TLS 1.0) por smbclient nativo
  • SMB: sesión interactiva real smb: \> contra //172.17.0.16/C$ — el jurado ve carpetas Windows falsas en directo
  • MSSQL: sonda que muestra error de protocolo obsoleto como firma característica del honeypot
  • Narrativa corregida: Fase 8 ya no "descubre" los servicios (ya aparecen en Fase 1) sino que los explota

Fix corrupción visual terminal (Fase 4)

  • Executor.run(shell=True): añadidos start_new_session=True + stdin=subprocess.DEVNULL
  • Root cause: sshpass llama tcsetattr(0, TCSANOW, ...) sobre fd 0 heredado (terminal Rich), desactiva ONLCR y corrompe el salto de línea. Con stdin=DEVNULL el fd 0 apunta a /dev/null (no es tty) → tcgetattr devuelve ENOTTY → sshpass no puede modificar el terminal
  • Eliminado UI.warn redundante en TimeoutExpired

Verificado en

  • VM100 Kali 2025.4 · Python 3 · Rich
  • Dionaea (T-Pot v24.04.1): puertos 445 y 1433 confirmados abiertos con nc
  • smbclient SMB2 contra //172.17.0.16/C$: sesión interactiva funcional

Data-Unix added 2 commits May 25, 2026 21:38
@Data-Unix
fix: corregir reglas Wazuh y visual en fases 2/4/8 + fix stdin terminal
f8df695 
- Fase 2: sustituir regla 100014 (no dispara) por 100040 real (31123->100040 via errores 503)
- Fase 4: eliminar alerta 100010 (no dispara); solo 100040 salta en Cowrie fail
- Fase 8: reemplazar impacket por smbclient interactivo (SMB real en Dionaea)
  - Sesion smbclient C$ interactiva para jurado no tecnico
  - Sonda MSSQL muestra error TLS como firma de honeypot
  - Narrativa referencia recon Fase 1 en lugar de "descubrir" servicios de nuevo
- Executor.run(shell=True): añadir stdin=DEVNULL + start_new_session=True
  para evitar que sshpass corrompa modo terminal de Rich (tcsetattr en fd0)
- TimeoutExpired: eliminar UI.warn redundante en timeout de subprocesos
@Data-Unix
ci: excluir .github de scan SSH keys (falso positivo — grep matcheaba…
d83d98d 
… su propia linea)
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@Data-Unix