Versão Imprimível
Alguém sabe porque o guardian 1.7 com o snort 2.0.5 não funciona,
o snort reconhece normal os portscans, mas o guardian não faz
nada, acho que tem quer mudar a maneira do guardian ler o arquivo
alert do snort, o arquivo alert do snort deve estar com uma estrutura diferente,
e não atualizaram o guardian, ele funfa bem com versões do snort 1.xx...
estou tentando arranhar um pouco de perl aqui pra arrumar, mas
se alguém souber como fazê-lo. Vlws!
<IMG SRC="images/forum/icons/icon_biggrin.gif">
Falai PiTsA
me desculpe de não poder responder sua pergunta, mas vou fazer mais uma em cima dela hehehe
onde vc conseguiu o guardian 1.7, no site do snort eu só encontrei o 1.6
agradeço sua ajuda
[]´s
e ae grande! beleza!
tá ae: http://xfiles.erin.utoronto.ca/pub/unix/security/guardian/guardian.html
if (defined($opt_d)) {print "$_\n";}
if (/\[\*\*\]\s+(.*)\s+\[\*\*\]/){
$type=$1;
}
if (/(\d+\.\d+\.\d+\.\d+):\d+ -\> (\d+\.\d+\.\d+\.\d+):\d+/) {
&checkem ($1, $2, $type);
}
o treho que está incorreto seria estes dois IFs, que nunca estão entrando,
verifiquei isto.. mas nem imagino que comparação/condição ele faz ae....
é assim, o guardian fica verificando o arquivo de log do snort...
o arquivo teria um conteudo mais ou menos assim:
[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 206.204.10.210 (THRESHOLD 6 connections exceeded in 1 seconds) [**]
12/01-22:08:30.307928
[**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 18 connections across 1 hosts: TCP(1<IMG SRC="images/forum/icons/icon_cool.gif">, UDP(0) [**]
12/01-22:08:46.230231
[**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 15 connections across 1 hosts: TCP(15), UDP(0) [**]
12/01-22:09:07.958814
ele abre o arquivo, se posiciona na ultiama posição dele, e fica verificando se há alguma coisa nova escrita abaixo dele..... olha o link
null