+ Responder ao Tópico



  1. #1
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    Segui o passo a passo de ACID+SNORT em: http://acidlab.sourceforge.net/acid_config.html

    Quando vou no meu browser e digito: http://meu_ip/acid/acid_main.php

    Me aparece o seguinte erro:

    The underlying database snort_db@localhost appears to be incomplete/invalid
    Database ERROR:Table 'snort_db.iphdr' doesn't exist

    It might be an older version. Only alert databases created by Snort 1.7-beta0 or later are supported

    O que faço?

    O único link que achei no Google é indecifrável: http://listweb.bilkent.edu.tr/Linux/.../Oct/0025.html

    PS: Uso Snort 2.2 no Fedora Core2 e ACID v0.9.6b23.

  2. #2

    Padrão ACID + SNORT

    Cara o nome da sua base de dados ta certa?? pq ele diz que não ta encontrando a tabela snort_db.iphdr no seu banco de dados.
    da uma olhada se ela existe.

    falows


    PS: fez isso Snort -- README.database included in the source distribution or at http://www.snort.org/documentation.html ??? e seu snort ta logando no bd mysql??

  3. #3
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    Meu Snort não loga no Banco de Dados. O nome ta certo sim pois é o próprio acid que conectou e criou o banco. Para usar o ACID e Snort de ve logar no mysql? Como faço isso?

  4. #4

    Padrão ACID + SNORT

    Sim pro acid funcionar o snort prescisa logar em banco de dados sim, o que deve ter acontecido eh que vc instalou o snort e nao criou os bancos de dados deles, ae o acid deve pegar uma tabela que o snort devia criar ae da erro, qual banco de dados usa??

    falows

  5. #5
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    Valeu pela dica ruyneto. Segui este tutorial: http://www.snort.org/docs/Snort_SSL_FC2.pdf e agora a tela entra numa boa e não da mais erro.

  6. #6

    Padrão ACID + SNORT

    Blz entao, qq duvida em relação ao snort estamos ae.

    falows

  7. #7
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    Agora me surge outra dúvida. Qd escrevo:

    [root@lasertools-serv acid]# tail -f /var/log/messages

    Jan 10 17:37:23 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
    Jan 10 17:37:23 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
    Jan 10 17:37:32 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3247 -> 192.168.172.4:8080
    Jan 10 17:37:32 lasertools-serv snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.172.9:3259 -> 192.168.172.4:8080
    Jan 10 17:37:33 lasertools-serv snort: [119:12:1] (http_inspect) APACHE WHITESPACE (TAB) {TCP} 192.168.172.9:3258 -> 192.168.172.4:8080
    Jan 10 17:37:34 lasertools-serv snort: [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER {TCP} 192.168.172.9:3256 -> 192.168.172.4:8080

    Me apareceu essas linhas acima que sempre apareciam antes e como eu sei que estão indo para o mysql certinho?

    Escrevo http://meu_ip/acid e ele abre a tela mas ta tudo zerado.

  8. #8

    Padrão ACID + SNORT

    Cara vc alterou o snort.conf descomentando a linha do snort que log na base de dados??a base de dados que o acid olha eh a mesma que o snort loga??Se quiser tenta usar um phpmyadmin pra ver o conteudo da base de dados.

    falows

  9. #9
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    O acid olha para a mesma base de dados que o snort e descomentei a linha referente ao banco no snort.conf.

    Uso o MySQL Control Center no Windows para ver meu banco de dados e o banco foi criado com tudo corretamente mas os dados não parecem estar sendo gravados nele.

  10. #10

    Padrão ACID + SNORT

    Ao descomentar a linha vc adaptou ela ao seu banco de dados??

    falows

  11. #11
    guardian_metal
    Visitante

    Padrão ACID + SNORT

    analisando meu logs, vi que meu snort não tava compilado com suporte a mysql.

    Então, o compilei:

    ./configure --with-mysql=/usr/local/mysql --prefix=/etc/snort --enable-linux-smp-stats --enable-flexresp

    Reconfigurei o acid com os parâmetros necessários e iniciei o snort:

    /etc/snort/bin/snort -D -c /etc/snort/snort.conf -u snort -g snort

    Perfeito.

    Agora ele grava no banco e quando entro em:

    http://meu_ip/acid

    Ele me mostra a tela inicial e mostra que existem alertas mas quando clico nos links da página, as páginas são abertas em branco sem conteúdo.

    Agora sei que ele gera os dados e grava no banco mas não consigo ver os alertas mas sei que eles existem. Há algo mais a se fazer no acid?

  12. #12

    Padrão ACID + SNORT

    cara vc instalou todos os programas que precisa pra mostrar as paginas do acid, acho que o jpgraph e uma outra??adicionou os modulos ao php.ini??

    falows