- Num Vai o Snort
+ Responder ao Tópico
-
Num Vai o Snort
Aew galera blz..preciso de uma força + uma vez
configurei o snort de acordo com artigos mas num vai a versão é 1.8
quando executo ele no messages aparece isso
May 4 14:40:54 PUNK snort: PID stat checked out ok, PID set to /var/run/
May 4 14:40:54 PUNK snort: Writing PID file to "/var/run/"
May 4 14:40:54 PUNK snort: Initializing daemon mode
May 4 14:40:54 PUNK snort: PID stat checked out ok, PID set to /var/run/
May 4 14:40:54 PUNK snort: Writing PID file to "/var/run/"
May 4 14:40:54 PUNK snort: *WARNING*: unknown preprocessor "conversation", ignoring!
Mai 4 14:40:54 PUNK snort: snort startup succeeded
May 4 14:40:54 PUNK snort: FATAL ERROR: Error: Unknown config: reference
e no terminal
[root@PUNK log]# /etc/rc.d/init.d/snort start
Warning, if ppp0 goes down, snort will NOT be restarted automatically!
Check /etc/sysconfig/snort for more details on the ACTIVATE entry
Iniciando: snort [ OK ]
alguem te alguma dica do que seja ou tenha algum artigo mais detalhado sobre o snort
galera vlw mais uma vez fuiii
<IMG SRC="images/forum/icons/icon_cool.gif">
-
Num Vai o Snort
bom melhoro coloquei yes no /etc/sysconfig/snort ACTIVATE yes ai blz num deu erro quando inicializo
mas no messages
May 4 15:35:29 PUNK snort: Initializing daemon mode
May 4 15:35:30 PUNK snort: PID stat checked out ok, PID set to /var/run/
May 4 15:35:30 PUNK snort: Writing PID file to "/var/run/"
May 4 15:35:30 PUNK snort: *WARNING*: unknown preprocessor "conversation", ignoring!
May 4 15:35:30 PUNK snort: FATAL ERROR: Error: Unknown config: reference
Mai 4 15:35:30 PUNK snort: snort startup succeeded
bom melhoro rs
-
Num Vai o Snort
o que eu posso ver eh o que o seu snort.conf deve ter alguma coisa errada, como esse plugin "conversation" nao existe nesta versao. <IMG SRC="images/forum/icons/icon_smile.gif">
snort -V ira lhe mostrar a versao do seu snort. (voce disse que estava usando a 1.<IMG SRC="images/forum/icons/icon_cool.gif"> se voce estiver usando ela mesmo eh melhor voce atualizar.
e veja no seu script de inicializacao qual a linha que ele esta usando para rodar o snort <IMG SRC="images/forum/icons/icon_smile.gif">
-
Num Vai o Snort
então eu mudei a linha mas ele continua aprecendo erro só mudou a forma ex:
May 4 23:09:41 PUNK snort: Initializing daemon mode
May 4 23:09:41 PUNK snort: PID stat checked out ok, PID set to /var/run/
May 4 23:09:41 PUNK snort: Writing PID file to "/var/run/"
Mai 4 23:09:41 PUNK snort: snort startup succeeded
May 4 23:09:41 PUNK snort: FATAL ERROR: Error: Unknown config: reference
eu executo assim /etc/rc.d/init.d/snort start
ai ele aparece ok mas no messages esses erro acima
agradeço qualquer ajuda <IMG SRC="images/forum/icons/icon_wink.gif">
-
Num Vai o Snort
poste seu snort.conf . tem que ter alguma configuracao errada ou ta faltando algum arquivo. se voce estiver usando as regras erradas(de uma outra versao) tambem da erros nos arquivos de referencias.
como voce usa a versao 1.8 a minha solucao seria
wget www.snort.org/dl/snort-2.0.0.tar.gz
tar xzvf snort-2.0.0.tar.gz
cd snort-2.0.0
./configure --with-mysql (se voce quiser com mysql. senao remova)
mkdir -p /etc/snort (se voce quiser que eles fiquem ai)
cp etc/* /etc/snort/
edite seu snort.conf conforme voce quiser
snort -c /etc/snort/snort.conf
e veja se roda, ou use as minhas linhas do script que esta em init.d
alterando apenas o caminho do -c que o arquivo de conf.
veja no que da <IMG SRC="images/forum/icons/icon_smile.gif">
-
Num Vai o Snort
Desculpe a demorá amigo estava muito ocupado mas aqui está amigo eu não sei no que está errado já mexi um monte de coisas copiei o snort.conf para o root .snortrc num foi tb depois coloquei o reference dentro do root ai mudou o erro mas o que significa esse reference ? pretendo mais tarde atualizar ele mais quero fazer funcionar esse primeiro ok, o erro que dá agora é esse ex:
var HOME_NET $ppp0_ADDRESS
May 11 02:55:32 snort: PID stat checked out ok, PID set to /var/run/
May 11 02:55:32 snort: Writing PID file to "/var/run/"
May 11 02:55:32 snort: Initializing daemon mode
May 11 02:55:32 snort: PID stat checked out ok, PID set to /var/run/
May 11 02:55:32 snort: Writing PID file to "/var/run/"
May 11 02:55:32 snort: FATAL ERROR: Error: Unknown config: reference
Mai 11 02:55:32 snort: snort startup succeeded
o meu snort.conf
var EXTERNAL_NET any 200.xxx.xxx
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]
var RULE_PATH /etc/snort
preprocessor frag2
preprocessor stream4: detect_scans, disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor http_decode: 80 -unicode -cginull
preprocessor rpc_decode: 111
preprocessor bo: -nobrute
preprocessor telnet_dec
include classification.configode
include reference.config
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
#include $RULE_PATH/mysql.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/web-attacks.rules
# include $RULE_PATH/backdoor.rules
# include $RULE_PATH/shellcode.rules
# include $RULE_PATH/policy.rules
# include $RULE_PATH/porn.rules
include $RULE_PATH/info.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/chat.rules
include $RULE_PATH/multimedia.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/experimental.rules
include $RULE_PATH/local.rules
include $RULE_PATH/vision.rules
Valeu a força
-
Num Vai o Snort
No seu arquivo /etc/snort deve ter os arquivos
classification.config e reference.config
tem eles la ?
<IMG SRC="images/forum/icons/icon_smile.gif">
[]`s
Daniel B. Cid (insonia) hehe
[email protected]
-
Num Vai o Snort
sim tem eles sim mas num consegui entender ele ainda funcionamento...
flw valeu..
-
Num Vai o Snort
sua external net esta errada... voce nao pode dar espaco tem que usar [iprange,iprange]
um bom comeco seria
var EXTERNAL_NET any
e nao defineir um ip no external. senao ele so ira ler alertas daquele ip que voce botou (e mais any jah que voce deixou any, mas trabalho para o cpu)
ele reclama de um unknown config reference ... verifique a linha do classification e do reference se elas estao digitadas corretamente.
qual a linha que voce esta usando para iniciar o snort? (por acaso voce jah atualizou ela para 2.0?) eu acredito que voce baixou o rules-stable.tar.gz ou o current, bom baixe o stable e use com o snort 2.0 se voce esta com o rules atual e tentando rodar no 2.0 eu nao sei nem o q pode dar, mas simplesmente nao va funcionar.
faca o q eu disse, atualize o snort 2.0 crie o /etc/snort copie todos os etc do snort para la. e tambem o rules. edite o snort.conf para atender suas necessidades e rode ele.. o basico eh snort -c config.file para ele ler o /etc/snort.conf. tente isso e veja no que da.