ACID + SNORT

[guardian_metal]

Segui o passo a passo de ACID+SNORT em: http://acidlab.sourceforge.net/acid_config.html

Quando vou no meu browser e digito: http://meu_ip/acid/acid_main.php

Me aparece o seguinte erro:

The underlying database snort_db@localhost appears to be incomplete/invalid
Database ERROR:Table 'snort_db.iphdr' doesn't exist

It might be an older version. Only alert databases created by Snort 1.7-beta0 or later are supported

O que faço?

O único link que achei no Google é indecifrável: http://listweb.bilkent.edu.tr/Linux/.../Oct/0025.html

PS: Uso Snort 2.2 no Fedora Core2 e ACID v0.9.6b23.

[ruyneto]

Cara o nome da sua base de dados ta certa?? pq ele diz que não ta encontrando a tabela snort_db.iphdr no seu banco de dados.
da uma olhada se ela existe.

falows


PS: fez isso Snort -- README.database included in the source distribution or at http://www.snort.org/documentation.html ??? e seu snort ta logando no bd mysql??

[guardian_metal]

Meu Snort não loga no Banco de Dados. O nome ta certo sim pois é o próprio acid que conectou e criou o banco. Para usar o ACID e Snort de ve logar no mysql? Como faço isso?

[ruyneto]

Sim pro acid funcionar o snort prescisa logar em banco de dados sim, o que deve ter acontecido eh que vc instalou o snort e nao criou os bancos de dados deles, ae o acid deve pegar uma tabela que o snort devia criar ae da erro, qual banco de dados usa??

falows

[guardian_metal]

Valeu pela dica ruyneto. Segui este tutorial: http://www.snort.org/docs/Snort_SSL_FC2.pdf e agora a tela entra numa boa e não da mais erro.

[ruyneto]

Blz entao, qq duvida em relação ao snort estamos ae.

falows

[guardian_metal]

Agora me surge outra dúvida. Qd escrevo:

[root@lasertools-serv acid]# tail -f /var/log/messages

Jan 10 17:37:23 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
Jan 10 17:37:23 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
Jan 10 17:37:32 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
Jan 10 17:37:32 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3259 -> 192.168.172.4:8080
Jan 10 17:37:33 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
Jan 10 17:37:34 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3256 -> 192.168.172.4:8080

Me apareceu essas linhas acima que sempre apareciam antes e como eu sei que estão indo para o mysql certinho?

Escrevo http://meu_ip/acid e ele abre a tela mas ta tudo zerado.

[ruyneto]

Cara vc alterou o snort.conf descomentando a linha do snort que log na base de dados??a base de dados que o acid olha eh a mesma que o snort loga??Se quiser tenta usar um phpmyadmin pra ver o conteudo da base de dados.

falows

[guardian_metal]

O acid olha para a mesma base de dados que o snort e descomentei a linha referente ao banco no snort.conf.

Uso o MySQL Control Center no Windows para ver meu banco de dados e o banco foi criado com tudo corretamente mas os dados não parecem estar sendo gravados nele.

[ruyneto]

Ao descomentar a linha vc adaptou ela ao seu banco de dados??

falows

[guardian_metal]

analisando meu logs, vi que meu snort não tava compilado com suporte a mysql.

Então, o compilei:

./configure --with-mysql=/usr/local/mysql --prefix=/etc/snort --enable-linux-smp-stats --enable-flexresp

Reconfigurei o acid com os parâmetros necessários e iniciei o snort:

/etc/snort/bin/snort -D -c /etc/snort/snort.conf -u snort -g snort

Perfeito.

Agora ele grava no banco e quando entro em:

http://meu_ip/acid

Ele me mostra a tela inicial e mostra que existem alertas mas quando clico nos links da página, as páginas são abertas em branco sem conteúdo.

Agora sei que ele gera os dados e grava no banco mas não consigo ver os alertas mas sei que eles existem. Há algo mais a se fazer no acid?

[ruyneto]

cara vc instalou todos os programas que precisa pra mostrar as paginas do acid, acho que o jpgraph e uma outra??adicionou os modulos ao php.ini??

falows