HowTo-Debian: Snort

[kase]

weiß jemand, was diese "Attack" bedeutet ????

Hatte ich heute zum aller ersten Mal:

3 62.26.123.10 217.160.170.XX ATTACK RESPONSES id check returned root

[dodolin]

Achtung, jetzt kommt mein Geheimtipp...
Schonmal mit STFW in Form von Google probiert?
http://www.google.com/search?q=snort+AT ... urned+root
Schau dir insbesondere mal den Thread ab http://archives.neohapsis.com/archives/ ... d.html#197 an. Da gab es einige Antworten...

[kase]

war schon zu spät, hab google vergessen :D

PS: Es gibt nix, was ich mehr hasse, als threaded Foren *kotz*

Aber habs gefunden, thx.

[dea]

Spielverderber ... :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=173254

PLEASE NOTE

1) This snort version should not be used for serious=20
purposes because important bug-fixes occurred between=20
Snort 1.8.4 and 1.9.0.

2) Serious users should download a source tarball for=20
V1.9.0 from http://www.snort.org, and compile it=20
themselves.

3) Serious users should also arrange for their systems=20
to download and install fresh signature tarballs from
http://www.snort.org/dl/rules/snortrules-stable.tar.gz
at regular intervals.

... und ich hatte mich schon sooo gefreut ... :(

[v00dy]

man kann den snort output auch in eine mysqldb schreiben lassen und das dann via acidlab (php fronted) einsehen.
man muss die db bzw. acidlab nur immer schön pflegen, sonst wird die datenbank am ende xxxmb gross.

[captaincrunch]

man kann den snort output auch in eine mysqldb schreiben lassen und das dann via acidlab (php fronted) einsehen.
man muss die db bzw. acidlab nur immer schön pflegen, sonst wird die datenbank am ende xxxmb gross.

Ist für's Debianhowto schon in Plaung ...

[roi]

Hallo!

Die Logdateien von Snort befinden sich in /var/log/snort/.
Wer zu faul ist, die Logdateien per Hand durchzugehen, kann sich mit folgendem Befehl eine schöne Auswertung liefern lassen:

Code: Select all

(cat /var/log/snort/alert | snort-stat) >/var/www/snort.txt

Das Verzeichnis /var/www/snort.txt muss man ggf abändern, wenn man seinen vHost zB in /var/www/web1/html/snort.txt hat.

Irgendwie habe ich da Verstaendnisprobleme. Was erzeugt dieses File? Tagesstatistiken, oder? Irgendwie klappt das bei mir nicht richtig. Hab das File per Cron alle 5 Minuten am Start, beim ersten Mal starten klappt das auch (File wird erzeugt), dann kommt folgende Meldung (und das File ist zwar da, hat aber 0 Bytes Groesse):

From: root (Cron Daemon)
To: root
Subject: Cron <root> (cat /var/log/snort/alert | snort-stat) >/var/www/snort/snort.txt

--------------------------------------------------------------------------------

/bin/sh: snort-stat: command not found

Hm...

Viele Gruesse,
Roi

[captaincrunch]

Vermutlich ist das "snort-stat" entweder nicht in deiner $PATH-Variable, oder nicht installiert ... ein locate snort-stat sollte Klarheit bringen ...

[roi]

Hallo!

Vermutlich ist das "snort-stat" entweder nicht in deiner $PATH-Variable, oder nicht installiert ... ein locate snort-stat sollte Klarheit bringen ...

locate snort-stat liefert:

/usr/sbin/snort-stat
/usr/share/man/man8/snort-stat.8.gz

Und was sagt mir das nun? Sorry, bin linuxmaessig nicht ganz so in der Tiefe...

Roi

[captaincrunch]

Ich vermute mal ganz stark, dass du das snort-stat als normaler User ausgeführt hast, der das Binary halt nicht ausführen darf ... ;)

[roi]

Hi!

Ich vermute mal ganz stark, dass du das snort-stat als normaler User ausgeführt hast, der das Binary halt nicht ausführen darf ... ;)

An sich nicht, der Befehl wird ueber /var/spool/cron/crontabs/root ausgefuehrt. Nehm mal an, dass das dann der User root ist, oder?

Roi

[kase]

Code: Select all

(cat /var/log/snort/alert | /usr/sbin/snort-stat ) >/var/www/snort.txt

Dann versuch ma diesen Befehl...

Ansonsten liegt es am User, dass er keine Rechte hat snort-stat auszuführen.

[roi]

Hallo!

Code: Select all

(cat /var/log/snort/alert | /usr/sbin/snort-stat ) >/var/www/snort.txt

Dann versuch ma diesen Befehl...

Hat geklappt. Mensch, dass es an sich sooo billig ist, haett ich nicht gedacht. :-)

CU,
Roi

[adjustman]

Hallo @all,
ich hab grad mal Snort installiert. Auf Debian. Soweit alles ok.
Ich habe:

Code: Select all

/etc/init.d/snort restart

gemacht und dann kam:

Code: Select all

Stopping Network Intrusion Detection System: snort.
Starting Network Intrusion Detection System: snort.

Alles so, wie es sein soll. Wenn ich aber ein:

Code: Select all

ps ax | grep snort

mache, kommt nix. Ist was falsch oder alles ok?
EDIT: Hab jetzt in den Logs nachgesehen:

Code: Select all

FATAL ERROR:  [!] ERROR: Can not get write access to logging directory "/var/log/snort". (directory doesn't exist or permissions are set incorrectly or it is not a directory at all)

Wie müssen denn die Permissions sein? Im Moment snort:snort 750

[adjustman]

Ich kann dir dazu sehr ACID empfehlen, das eine Weboberfläche für Snort bietet, die ich persönlich ziemlich übersichtlich finde.

Wollt ich jetzt installieren:

Code: Select all

apt-get -s install acidlab
Reading Package Lists... Done
Building Dependency Tree... Done
The following extra packages will be installed:
  apache libphp-adodb libphp-phplot php4-gd t1lib1 wwwconfig-common
The following NEW packages will be installed:
  acidlab apache libphp-adodb libphp-phplot php4-gd t1lib1 wwwconfig-common
0 packages upgraded, 7 newly installed, 0 to remove and 0  not upgraded.
Inst apache (1.3.26-0woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Inst libphp-adodb (1.51-1.1 Debian:3.0r2/stable)
Inst libphp-phplot (4.4.6-2 Debian:3.0r2/stable)
Inst t1lib1 (1.3.1-1 Debian:3.0r2/stable)
Inst php4-gd (4:4.1.2-6woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Inst wwwconfig-common (0.0.19 Debian:3.0r2/stable)
Inst acidlab (0.9.6b20-2 Debian:3.0r2/stable)
Conf apache (1.3.26-0woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Conf libphp-adodb (1.51-1.1 Debian:3.0r2/stable)
Conf libphp-phplot (4.4.6-2 Debian:3.0r2/stable)
Conf t1lib1 (1.3.1-1 Debian:3.0r2/stable)
Conf php4-gd (4:4.1.2-6woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Conf wwwconfig-common (0.0.19 Debian:3.0r2/stable)
Conf acidlab (0.9.6b20-2 Debian:3.0r2/stable)

Jetzt bin ich sehr verwirrt. Wieso will da Apache NEU installiert werden? Hab ich doch schon.
P.S. Was macht eigentlich das Snort HOWTO?

[adjustman]

Code: Select all

ls -ld snort
drwxr-x---    2 snort    snort        4096  3. Jan 02:40 snort

So ists evtl. besser ausgedrückt. Hab mittlerweile schon ohne Ende gegoogled, den Fehler gibts öfter. Aber leider keine brauchbare Lösung.

[adjustman]

so, nun die Lösung:
Die Permissions der darüberliegenden Folder waren nicht richtig gesetz. So einfach ist das. :-D