+ Responder ao Tópico



  1. 23-03-2004, 21:11 #1
    fabmotcam
    fabmotcam está desconectado
    Avatar de fabmotcam
    Ingresso
    Feb 2004
    Posts
    37

    Padrão problema com snort

    pessoal, meu snort so funcionou na primeira instalacao, agora aparece esse problema no messages na hora de rodar a execucao do snort, alguem ja teve esse problema ?

    Mar 23 22:51:43 lua snort: FATAL ERROR: Warning: /etc/snort/web-client.rules(21) => Unknown keyword ' flowbits' in rule!
    Mar 23 22:51:43 lua kernel: device eth0 left promiscuous mode

    valew, fabricio !
    Citação Citação
  2. 24-03-2004, 07:19 #2
    PiTsA
    PiTsA está desconectado
    Avatar de PiTsA
    Ingresso
    Nov 2002
    Posts
    2.309

    Padrão problema com snort

    tente arrumar atualizando suas rules...

    http://www.snort.org/dl/rules/snortr...CURRENT.tar.gz
    Citação Citação
  3. 24-03-2004, 07:58 #3
    fabmotcam
    fabmotcam está desconectado
    Avatar de fabmotcam
    Ingresso
    Feb 2004
    Posts
    37

    Padrão problema com snort

    kra, o CURRENT esta com algum pau ! ontem de madrugada eu baxei o 2_1 ai funcionou, o q aconteceu eh q ontem a tarde o CURRENT esta blz, a noite alguem deve ter trocado ele por isso eu nao consegui , valew kra, o guardian bloqueou uns 20 ips essa noite, o unicio problema e que ele bloqueou um ip q nao poderia, olha ai

    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Ignoring attack because 200.x.x.140 is in my ignore list
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Running '/usr/local/bin/guardian_block.sh 200.x.x.140 eth0'
    Wed Mar 24 09:23:17 2004: 200.x.x.140
    Running '/usr/local/bin/guardian_block.sh 200.x.x.140 eth0'

    ele reconheceu q deveria ignorar o ip ate certo ponto, mas depois mesmo assim bloqueou ele ! (isso dai e um cliente meu de acesso discado)

    o q pode ser ? ninguem mais consegue acessar essa porta !

    Citação Postado originalmente por PiTsA
    tente arrumar atualizando suas rules...

    http://www.snort.org/dl/rules/snortr...CURRENT.tar.gz
    Citação Citação
  4. 24-03-2004, 08:34 #4
    PiTsA
    PiTsA está desconectado
    Avatar de PiTsA
    Ingresso
    Nov 2002
    Posts
    2.309

    Padrão problema com snort

    estranho ele bloquear mesmo o IP estando no guardian.ignore

    modifique seu snort.conf, na linha:

    preprocessor portscan-ignorehosts: 0.0.0.0

    adicione o IP que vc quer ignorar....

    preprocessor portscan-ignorehosts: 200.x.x.140 200.x.x.n

    com isso ele irá ignorar este host....
    Citação Citação
  5. 24-03-2004, 10:40 #5
    fabmotcam
    fabmotcam está desconectado
    Avatar de fabmotcam
    Ingresso
    Feb 2004
    Posts
    37

    Padrão problema com snort

    agora ficou fileh ... funcionando blz, so uma duvida pra parar de te enxer o saco, quando eu reinicio o servidor o guardian tem q bloquear os ip's dinovo ou ele armazena as chains do IPTABLES em algum canto ?


    Citação Postado originalmente por PiTsA
    estranho ele bloquear mesmo o IP estando no guardian.ignore

    modifique seu snort.conf, na linha:

    preprocessor portscan-ignorehosts: 0.0.0.0

    adicione o IP que vc quer ignorar....

    preprocessor portscan-ignorehosts: 200.x.x.140 200.x.x.n

    com isso ele irá ignorar este host....
    Citação Citação



« Tópico Anterior | Próximo Tópico »