Re: [FUG-BR] SNORT - erro ao executa-lo
Boa tarde Marcio, tudo bom? Eu tentei com o nmap, mas nao apareceu nada, apenas umas menssagens no kernel, de RST response. Agora estou testando pela rede interna, que passa por um switch da D-Link(DGS1008-D) com um programinha chamado Attack Tool Kit, que checa varias vulnerabilidades, e finalmente apareceram os logs no BASE e no ACID. Acredito que agora apenas devo refinar minha configurações. Em 14/12/05, Márcio Luciano Donada<[EMAIL PROTECTED]> escreveu: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > R. Filippus wrote: > > >Opa. > > > >Nossa, como estou indignado com esse snort. Já ate troquei o ACID pelo > >BASE, que a a continuação do projeto do ACID. > > > >Bom, vejo que os analizadores de log, sempre estão vazios, então > >comecei a vasculhar os logs, e no messages achei a seguinte linha: > > > >Dec 14 11:27:44 gateway snort[20521]: Log directory = /var/log/snort > > > >Mas esta setado o banco de dados > > > >Outputs cadastrados: > > > >output database: log, mysql, user=snort password=snort dbname=snort > >host=localhost > >output database: alert, mysql, user=snort password=snort dbname=snort > >host=localhost > > Boa Tarde, > Ele sempre irá fazer isso, ele anexa todas as tentativas no alert do > snort e de tempos em tempos (não sei bem ao certo qual é) ele armazena > no MySQL. Tente realizar algumas conexões, ping (em massa) pra ele gerar > alguns log's. Qualquer coisa, eu posso te passar o meu snort.conf que > está funcionando legal com o ACID. > > []'s > > - -- > Márcio Luciano Donada > T.I. Aurora Alimentos - Chapecó(SC) > Cooperativa Central Oeste Catarinense > mdonada at auroraalimentos dot com dot br > > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.2.6 (GNU/Linux) > > iD8DBQFDoDvDyJq2hZEymxcRArM8AJ0SfijeipKV7iwCi7Rli/HqwnaP5ACgn9Vj > lxEaA4b9cEz2IfYeWT69qkw= > =TE/r > -END PGP SIGNATURE- > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 R. Filippus wrote: >Opa. > >Nossa, como estou indignado com esse snort. Já ate troquei o ACID pelo >BASE, que a a continuação do projeto do ACID. > >Bom, vejo que os analizadores de log, sempre estão vazios, então >comecei a vasculhar os logs, e no messages achei a seguinte linha: > >Dec 14 11:27:44 gateway snort[20521]: Log directory = /var/log/snort > >Mas esta setado o banco de dados > >Outputs cadastrados: > >output database: log, mysql, user=snort password=snort dbname=snort >host=localhost >output database: alert, mysql, user=snort password=snort dbname=snort >host=localhost Boa Tarde, Ele sempre irá fazer isso, ele anexa todas as tentativas no alert do snort e de tempos em tempos (não sei bem ao certo qual é) ele armazena no MySQL. Tente realizar algumas conexões, ping (em massa) pra ele gerar alguns log's. Qualquer coisa, eu posso te passar o meu snort.conf que está funcionando legal com o ACID. []'s - -- Márcio Luciano Donada T.I. Aurora Alimentos - Chapecó(SC) Cooperativa Central Oeste Catarinense mdonada at auroraalimentos dot com dot br -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.6 (GNU/Linux) iD8DBQFDoDvDyJq2hZEymxcRArM8AJ0SfijeipKV7iwCi7Rli/HqwnaP5ACgn9Vj lxEaA4b9cEz2IfYeWT69qkw= =TE/r -END PGP SIGNATURE- ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Opa. Nossa, como estou indignado com esse snort. Já ate troquei o ACID pelo BASE, que a a continuação do projeto do ACID. Bom, vejo que os analizadores de log, sempre estão vazios, então comecei a vasculhar os logs, e no messages achei a seguinte linha: Dec 14 11:27:44 gateway snort[20521]: Log directory = /var/log/snort Mas esta setado o banco de dados Outputs cadastrados: output database: log, mysql, user=snort password=snort dbname=snort host=localhost output database: alert, mysql, user=snort password=snort dbname=snort host=localhost Em 13/12/05, R. Filippus<[EMAIL PROTECTED]> escreveu: > Boa noite. > > A principio ele esta rodando, e o ACID tbm, mas como testar para saber > se realmente esta captando os log, pois no ACID esta sempre 0 alerts. > > []'s > > Em 13/12/05, Ricardo Campos Passanezi<[EMAIL PROTECTED]> escreveu: > > On Tue, Dec 13, 2005 at 02:05:59PM -0200, R. Filippus wrote: > > > Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. > > > Obrigado pelas dicas :D > > > > > > Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele > > > realmente esta funcionando? > > > > ... > > > > Não uso o ACID, então o que posso te dizer é para consultar a > > documentação > > (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). > > > > -- > > Ricardo Campos Passanezi > > > > ___ > > Freebsd mailing list > > Freebsd@fug.com.br > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > > > > > -- > Atenciosamente, > R. Filippus > -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Boa noite. A principio ele esta rodando, e o ACID tbm, mas como testar para saber se realmente esta captando os log, pois no ACID esta sempre 0 alerts. []'s Em 13/12/05, Ricardo Campos Passanezi<[EMAIL PROTECTED]> escreveu: > On Tue, Dec 13, 2005 at 02:05:59PM -0200, R. Filippus wrote: > > Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. > > Obrigado pelas dicas :D > > > > Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele > > realmente esta funcionando? > > ... > > Não uso o ACID, então o que posso te dizer é para consultar a > documentação > (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). > > -- > Ricardo Campos Passanezi > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
On Tue, Dec 13, 2005 at 02:05:59PM -0200, R. Filippus wrote: > Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. > Obrigado pelas dicas :D > > Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele > realmente esta funcionando? ... Não uso o ACID, então o que posso te dizer é para consultar a documentação (http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html). -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Boa tarde Ricardo, tudo bom? Em 13/12/05, Ricardo Campos Passanezi<[EMAIL PROTECTED]> escreveu: > On Tue, Dec 13, 2005 at 08:06:14AM -0200, R. Filippus wrote: > > Realmente o diretorio não existe. > > Criei o diretorio, mas ele fica dando erro que não consegue abrir os > > arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, > > ...) > > Se eu crio o arquivos não da erro, mas eles estao vazios!! > > Não deveriam vir junto com o snort esses arquivos? > > > Se você instalou do ports, os arquivos estão em /usr/local/share/snort > No /usr/local/share/snort e em nenhum outro local ele salvou, então baixei direto do www.snort.org. > Basta mudar o "RULE_PATH": > > var RULE_PATH /usr/local/share/snort > Criei o diretorio rules, e ele tirei o $RULE_path do snort.conf e foi blz. Obrigado pelas dicas :D Instalei o ACID, e fui tudo ok, mas como eu posso saber se ele realmente esta funcionando? Bom estou executando o nmap(nmap -sS -sV -P0 -O -v -p 80) contra os ips que estao nesse servidor, mas nada aparece no ACID. Como eu entao poderia testa-lo? []'s > > -- > Ricardo Campos Passanezi > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
On Tue, Dec 13, 2005 at 08:06:14AM -0200, R. Filippus wrote: > Realmente o diretorio não existe. > Criei o diretorio, mas ele fica dando erro que não consegue abrir os > arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, > ...) > Se eu crio o arquivos não da erro, mas eles estao vazios!! > Não deveriam vir junto com o snort esses arquivos? Se você instalou do ports, os arquivos estão em /usr/local/share/snort Basta mudar o "RULE_PATH": var RULE_PATH /usr/local/share/snort -- Ricardo Campos Passanezi ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
Realmente o diretorio não existe. Criei o diretorio, mas ele fica dando erro que não consegue abrir os arquivos das rules(bad-traffic.rules, local.rules, bad-traffic.rules, ...) Se eu crio o arquivos não da erro, mas eles estao vazios!! Não deveriam vir junto com o snort esses arquivos? Em 12/12/05, Márcio Luciano Donada<[EMAIL PROTECTED]> escreveu: > R. Filippus escreveu: > > >Boa noite pessoal. > > > >Estou instalando o snort, no Free 5.4. > >Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de > >dados no mysql e o usuarios. > >Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos > >.sample, do qual renomei-os e os erros sumiram, mas agora observei que > >outros erros estao sendo apresentados, como por exemplo diz que falta > >o rules, mas nao achei nenhum diretorio com tal informação. > > > >Gostaria de uma ajuda para rodar o snort. > > > >Abaixo segue o log de erros que ele apresenta na tela. > > > >ERROR: Unable to open rules file: ./rules/local.rules or > >/usr/local/etc/snort/./rules/local.rules > >Fatal Error, Quitting.. > >gateway# > > > > > > > > > Boa Noite, > Parece que o diretorio das regras não foi encontrado. Certifique-se que > ele está no endereço acima > > []'s > Márcio > > > > > > ___ > Yahoo! doce lar. Faça do Yahoo! sua homepage. > http://br.yahoo.com/homepageset.html > > > > ___ > Freebsd mailing list > Freebsd@fug.com.br > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br > -- Atenciosamente, R. Filippus ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] SNORT - erro ao executa-lo
R. Filippus escreveu: >Boa noite pessoal. > >Estou instalando o snort, no Free 5.4. >Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de >dados no mysql e o usuarios. >Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos >.sample, do qual renomei-os e os erros sumiram, mas agora observei que >outros erros estao sendo apresentados, como por exemplo diz que falta >o rules, mas nao achei nenhum diretorio com tal informação. > >Gostaria de uma ajuda para rodar o snort. > >Abaixo segue o log de erros que ele apresenta na tela. > >ERROR: Unable to open rules file: ./rules/local.rules or >/usr/local/etc/snort/./rules/local.rules >Fatal Error, Quitting.. >gateway# > > > > Boa Noite, Parece que o diretorio das regras não foi encontrado. Certifique-se que ele está no endereço acima []'s Márcio ___ Yahoo! doce lar. Faça do Yahoo! sua homepage. http://br.yahoo.com/homepageset.html ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] SNORT - erro ao executa-lo
Boa noite pessoal. Estou instalando o snort, no Free 5.4. Ja intalei o snort-2.4.3_1, o mysql-server-4.1.15, criei a base de dados no mysql e o usuarios. Ao tentar rodar, ele apresentou varios erros, que eram dos arquivos .sample, do qual renomei-os e os erros sumiram, mas agora observei que outros erros estao sendo apresentados, como por exemplo diz que falta o rules, mas nao achei nenhum diretorio com tal informação. Gostaria de uma ajuda para rodar o snort. Abaixo segue o log de erros que ele apresenta na tela. gateway# snort *** *** interface device lookup found: sis0 *** Running in IDS mode with inferred config file: /usr/local/etc/snort/snort.conf Initializing Network Interface sis0 --== Initializing Snort ==-- Initializing Output Plugins! Decoding Ethernet on interface sis0 Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file /usr/local/etc/snort/snort.conf +++ Initializing rule chains... ,---[Flow Config]-- | Stats Interval: 0 | Hash Method: 2 | Memcap: 10485760 | Rows : 4099 | Overhead Bytes: 16400(%0.16) `-- Frag3 global config: Max frags: 65536 Fragment memory cap: 4194304 bytes Frag3 global config: Max frags: 65536 Fragment memory cap: 4194304 bytes Frag3 engine config: Target-based policy: FIRST Fragment timeout: 60 seconds Fragment min_ttl: 1 Fragment ttl_limit: 5 Fragment Problems: 1 Bound Addresses: 0.0.0.0/0.0.0.0 Stream4 config: Stateful inspection: ACTIVE Session statistics: INACTIVE Session timeout: 30 seconds Session memory cap: 8388608 bytes Session count max: 8192 sessions Session cleanup count: 5 State alerts: INACTIVE Evasion alerts: INACTIVE Scan alerts: INACTIVE Log Flushed Streams: INACTIVE MinTTL: 1 TTL Limit: 5 Async Link: 0 State Protection: 0 Self preservation threshold: 50 Self preservation period: 90 Suspend threshold: 200 Suspend period: 30 Enforce TCP State: INACTIVE Midstream Drop Alerts: INACTIVE Server Data Inspection Limit: -1 WARNING /usr/local/etc/snort/snort.conf(373) => flush_behavior set in config file, using old static flushpoints (0) Stream4_reassemble config: Server reassembly: INACTIVE Client reassembly: ACTIVE Reassembler alerts: ACTIVE Zero out flushed packets: INACTIVE Flush stream on alert: INACTIVE flush_data_diff_size: 500 Reassembler Packet Preferance : Favor Old Packet Sequence Overlap Limit: -1 Flush behavior: Small (<255 bytes) Ports: 21 23 25 42 53 80 110 111 135 136 137 139 143 445 513 1433 1521 3306 Emergency Ports: 21 23 25 42 53 80 110 111 135 136 137 139 143 445 513 1433 1521 3306 HttpInspect Config: GLOBAL CONFIG Max Pipeline Requests:0 Inspection Type: STATELESS Detect Proxy Usage: NO IIS Unicode Map Filename: /usr/local/etc/snort/unicode.map IIS Unicode Map Codepage: 1252 DEFAULT SERVER CONFIG: Ports: 80 8080 8180 Flow Depth: 300 Max Chunk Length: 50 Inspect Pipeline Requests: YES URI Discovery Strict Mode: NO Allow Proxy Usage: NO Disable Alerting: NO Oversize Dir Length: 500 Only inspect URI: NO Ascii: YES alert: NO Double Decoding: YES alert: YES %U Encoding: YES alert: YES Bare Byte: YES alert: YES Base36: OFF UTF 8: OFF IIS Unicode: YES alert: YES Multiple Slash: YES alert: NO IIS Backslash: YES alert: NO Directory Traversal: YES alert: NO Web Root Traversal: YES alert: YES Apache WhiteSpace: YES alert: NO IIS Delimiter: YES alert: NO IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG Non-RFC Compliant Characters: NONE rpc_decode arguments: Ports to decode RPC on: 111 32771 alert_fragments: INACTIVE alert_large_fragments: ACTIVE alert_incomplete: ACTIVE alert_multiple_requests: ACTIVE telnet_decode arguments: Ports to decode telnet on: 21 23 25 119 Portscan Detection Config: Detect Protocols: TCP UDP ICMP IP Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan Sensitivity Level: Low Memcap (in bytes): 1000 Number of Nodes: 36900 X-Link2State Config: Ports: 25 691 database: compiled support for ( mysql ) database: configured to use mysql database: user = snort database: password is set database: database name = snort database: host = localhost database: sensor name = 192.168.100.253 database: sensor id = 1 database: schema version = 106 database: using the "log" facility ERROR: Unable to open rules file: ./rules/local.rules or /usr/local/etc/snort/./rules/local.rules Fatal Error, Quitting.. gateway# -- Atenciosamente, R. Filippus ___ Freebsd mailing li
