O velho e bom Guardian + Snort

[PiTsA]

Alguém sabe porque o guardian 1.7 com o snort 2.0.5 não funciona,
o snort reconhece normal os portscans, mas o guardian não faz
nada, acho que tem quer mudar a maneira do guardian ler o arquivo
alert do snort, o arquivo alert do snort deve estar com uma estrutura diferente,
e não atualizaram o guardian, ele funfa bem com versões do snort 1.xx...
estou tentando arranhar um pouco de perl aqui pra arrumar, mas
se alguém souber como fazê-lo. Vlws!


<IMG SRC="images/forum/icons/icon_biggrin.gif">

[HunTer]

Falai PiTsA

me desculpe de não poder responder sua pergunta, mas vou fazer mais uma em cima dela hehehe

onde vc conseguiu o guardian 1.7, no site do snort eu só encontrei o 1.6

agradeço sua ajuda

[]´s

[PiTsA]

e ae grande! beleza!

tá ae: http://xfiles.erin.utoronto.ca/pub/unix/security/guardian/guardian.html

[PiTsA]

if (defined($opt_d)) {print "$_\n";}

if (/\[\*\*\]\s+(.*)\s+\[\*\*\]/){
$type=$1;
}
if (/(\d+\.\d+\.\d+\.\d+):\d+ -\> (\d+\.\d+\.\d+\.\d+):\d+/) {
&checkem ($1, $2, $type);
}

o treho que está incorreto seria estes dois IFs, que nunca estão entrando,
verifiquei isto.. mas nem imagino que comparação/condição ele faz ae....

[PiTsA]

é assim, o guardian fica verificando o arquivo de log do snort...

o arquivo teria um conteudo mais ou menos assim:

[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 206.204.10.210 (THRESHOLD 6 connections exceeded in 1 seconds) [**]
12/01-22:08:30.307928

[**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 18 connections across 1 hosts: TCP(1<IMG SRC="images/forum/icons/icon_cool.gif">, UDP(0) [**]
12/01-22:08:46.230231

[**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 15 connections across 1 hosts: TCP(15), UDP(0) [**]
12/01-22:09:07.958814

ele abre o arquivo, se posiciona na ultiama posição dele, e fica verificando se há alguma coisa nova escrita abaixo dele..... olha o link

null