RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

HowTo-Debian: Snort

https://www.rootforum.org/forum/viewtopic.php?t=6960

Page 2 of 2

Re: HowTo-Debian: Snort

Posted: 2003-03-25 00:28
by kase
weiß jemand, was diese "Attack" bedeutet ????

Hatte ich heute zum aller ersten Mal:

3 62.26.123.10 217.160.170.XX ATTACK RESPONSES id check returned root

Re: HowTo-Debian: Snort

Posted: 2003-03-25 00:49
by dodolin
Achtung, jetzt kommt mein Geheimtipp... :wink:
Schonmal mit STFW in Form von Google probiert?
http://www.google.com/search?q=snort+AT ... urned+root
Schau dir insbesondere mal den Thread ab http://archives.neohapsis.com/archives/ ... d.html#197 an. Da gab es einige Antworten...

Re: HowTo-Debian: Snort

Posted: 2003-03-25 01:23
by kase
war schon zu spät, hab google vergessen :D

PS: Es gibt nix, was ich mehr hasse, als threaded Foren *kotz*

Aber habs gefunden, thx.

Re: HowTo-Debian: Snort

Posted: 2003-04-04 23:49
by dea
Spielverderber ... :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=173254
PLEASE NOTE

1) This snort version should not be used for serious=20
purposes because important bug-fixes occurred between=20
Snort 1.8.4 and 1.9.0.

2) Serious users should download a source tarball for=20
V1.9.0 from http://www.snort.org, and compile it=20
themselves.

3) Serious users should also arrange for their systems=20
to download and install fresh signature tarballs from
http://www.snort.org/dl/rules/snortrules-stable.tar.gz
at regular intervals.
... und ich hatte mich schon sooo gefreut ... :(

Re: HowTo-Debian: Snort

Posted: 2003-04-07 20:02
by v00dy
man kann den snort output auch in eine mysqldb schreiben lassen und das dann via acidlab (php fronted) einsehen.
man muss die db bzw. acidlab nur immer schön pflegen, sonst wird die datenbank am ende xxxmb gross.

Re: HowTo-Debian: Snort

Posted: 2003-04-07 21:32
by captaincrunch
man kann den snort output auch in eine mysqldb schreiben lassen und das dann via acidlab (php fronted) einsehen.
man muss die db bzw. acidlab nur immer schön pflegen, sonst wird die datenbank am ende xxxmb gross.
Ist für's Debianhowto schon in Plaung ... :wink:

Re: HowTo-Debian: Snort

Posted: 2003-05-08 12:28
by roi
Hallo!
kase wrote:Die Logdateien von Snort befinden sich in /var/log/snort/.
Wer zu faul ist, die Logdateien per Hand durchzugehen, kann sich mit folgendem Befehl eine schöne Auswertung liefern lassen:

Code: Select all

(cat /var/log/snort/alert | snort-stat) >/var/www/snort.txt
Das Verzeichnis /var/www/snort.txt muss man ggf abändern, wenn man seinen vHost zB in /var/www/web1/html/snort.txt hat.
Irgendwie habe ich da Verstaendnisprobleme. Was erzeugt dieses File? Tagesstatistiken, oder? Irgendwie klappt das bei mir nicht richtig. Hab das File per Cron alle 5 Minuten am Start, beim ersten Mal starten klappt das auch (File wird erzeugt), dann kommt folgende Meldung (und das File ist zwar da, hat aber 0 Bytes Groesse):
From: root (Cron Daemon)
To: root
Subject: Cron <root> (cat /var/log/snort/alert | snort-stat) >/var/www/snort/snort.txt

--------------------------------------------------------------------------------

/bin/sh: snort-stat: command not found
Hm...

Viele Gruesse,
Roi

Re: HowTo-Debian: Snort

Posted: 2003-05-08 12:31
by captaincrunch
Vermutlich ist das "snort-stat" entweder nicht in deiner $PATH-Variable, oder nicht installiert ... ein locate snort-stat sollte Klarheit bringen ...

locate snort-stat

Posted: 2003-05-08 16:49
by roi
Hallo!
CaptainCrunch wrote:Vermutlich ist das "snort-stat" entweder nicht in deiner $PATH-Variable, oder nicht installiert ... ein locate snort-stat sollte Klarheit bringen ...
locate snort-stat liefert:

/usr/sbin/snort-stat
/usr/share/man/man8/snort-stat.8.gz

Und was sagt mir das nun? Sorry, bin linuxmaessig nicht ganz so in der Tiefe...

Roi

Re: HowTo-Debian: Snort

Posted: 2003-05-08 16:56
by captaincrunch
Ich vermute mal ganz stark, dass du das snort-stat als normaler User ausgeführt hast, der das Binary halt nicht ausführen darf ... ;)

/var/spool/cron/crontabs/root

Posted: 2003-05-08 17:01
by roi
Hi!
CaptainCrunch wrote:Ich vermute mal ganz stark, dass du das snort-stat als normaler User ausgeführt hast, der das Binary halt nicht ausführen darf ... ;)
An sich nicht, der Befehl wird ueber /var/spool/cron/crontabs/root ausgefuehrt. Nehm mal an, dass das dann der User root ist, oder?

Roi

Re: locate snort-stat

Posted: 2003-05-08 17:53
by kase

Code: Select all

(cat /var/log/snort/alert | /usr/sbin/snort-stat ) >/var/www/snort.txt
Dann versuch ma diesen Befehl...

Ansonsten liegt es am User, dass er keine Rechte hat snort-stat auszuführen.

Re: locate snort-stat

Posted: 2003-05-09 11:57
by roi
Hallo!
kase wrote:

Code: Select all

(cat /var/log/snort/alert | /usr/sbin/snort-stat ) >/var/www/snort.txt
Dann versuch ma diesen Befehl...
Hat geklappt. Mensch, dass es an sich sooo billig ist, haett ich nicht gedacht. :-)

CU,
Roi

Re: HowTo-Debian: Snort

Posted: 2004-01-03 03:30
by adjustman
Hallo @all,
ich hab grad mal Snort installiert. Auf Debian. Soweit alles ok.
Ich habe:

Code: Select all

/etc/init.d/snort restart
gemacht und dann kam:

Code: Select all

Stopping Network Intrusion Detection System: snort.
Starting Network Intrusion Detection System: snort.
Alles so, wie es sein soll. Wenn ich aber ein:

Code: Select all

ps ax | grep snort
mache, kommt nix. Ist was falsch oder alles ok?
EDIT: Hab jetzt in den Logs nachgesehen:

Code: Select all

FATAL ERROR:  [!] ERROR: Can not get write access to logging directory "/var/log/snort". (directory doesn't exist or permissions are set incorrectly or it is not a directory at all)
Wie müssen denn die Permissions sein? Im Moment snort:snort 750

Re: HowTo-Debian: Snort

Posted: 2004-01-03 04:00
by adjustman
Ich kann dir dazu sehr ACID empfehlen, das eine Weboberfläche für Snort bietet, die ich persönlich ziemlich übersichtlich finde.
Wollt ich jetzt installieren:

Code: Select all

apt-get -s install acidlab
Reading Package Lists... Done
Building Dependency Tree... Done
The following extra packages will be installed:
  apache libphp-adodb libphp-phplot php4-gd t1lib1 wwwconfig-common
The following NEW packages will be installed:
  acidlab apache libphp-adodb libphp-phplot php4-gd t1lib1 wwwconfig-common
0 packages upgraded, 7 newly installed, 0 to remove and 0  not upgraded.
Inst apache (1.3.26-0woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Inst libphp-adodb (1.51-1.1 Debian:3.0r2/stable)
Inst libphp-phplot (4.4.6-2 Debian:3.0r2/stable)
Inst t1lib1 (1.3.1-1 Debian:3.0r2/stable)
Inst php4-gd (4:4.1.2-6woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Inst wwwconfig-common (0.0.19 Debian:3.0r2/stable)
Inst acidlab (0.9.6b20-2 Debian:3.0r2/stable)
Conf apache (1.3.26-0woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Conf libphp-adodb (1.51-1.1 Debian:3.0r2/stable)
Conf libphp-phplot (4.4.6-2 Debian:3.0r2/stable)
Conf t1lib1 (1.3.1-1 Debian:3.0r2/stable)
Conf php4-gd (4:4.1.2-6woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable)
Conf wwwconfig-common (0.0.19 Debian:3.0r2/stable)
Conf acidlab (0.9.6b20-2 Debian:3.0r2/stable)
Jetzt bin ich sehr verwirrt. Wieso will da Apache NEU installiert werden? Hab ich doch schon. :wink:
P.S. Was macht eigentlich das Snort HOWTO?

Re: HowTo-Debian: Snort

Posted: 2004-01-04 18:15
by adjustman

Code: Select all

ls -ld snort
drwxr-x---    2 snort    snort        4096  3. Jan 02:40 snort
So ists evtl. besser ausgedrückt. Hab mittlerweile schon ohne Ende gegoogled, den Fehler gibts öfter. Aber leider keine brauchbare Lösung.

Re: HowTo-Debian: Snort

Posted: 2004-01-06 01:23
by adjustman
so, nun die Lösung:
Die Permissions der darüberliegenden Folder waren nicht richtig gesetz. So einfach ist das. :-D :wink:
All times are UTC+02:00
Page 2 of 2