RootForum Community

Hallo Forum,

Ich möchte auf meinem Wewbserver SNORT zum laufen bringen. Allerdings wirft snort nach der yast installtion und einem start folgende error meldung ins log:

FATAL ERROR: /etc/snort/snort.conf(285) => Invalid file name for IIS Unicode Map file.

Weiss jemand Rat?
Und: Kennt jemand ein nettes Tutorial bezüglich Suse + Snort + Acid?

Thx

snort sucht in Zeile 285 seines config-Files (/etc/snort/snort.conf) nach einer Datei und findet sie nicht.

Da es sich hierbei wohl um MS-Server-betreffende Sachen handelt (IIS?) kann man es wohl getrost auskommentieren.

Ansonsten habe ich kaum Erfahrung mit snort ;)

wenn ich die zeile auskommentiere passiert folgendes:

FATAL ERROR: /etc/snort/snort.conf(288) => Invalid configuration token 'server'. The first configuration must start with a 'global' configuration type.


Da diese Zeile die global anweisung enthielt, nehme ich an sie ist zwingend notwendig. hat jemand eine funktionierende snort.conf für suse 9.1 die ich anpassen kann?

thx

Zeig' uns mal die Zeilen davor und dahinter.

/edit

Ok, da steht:

# http_inspect: normalize and detect HTTP traffic and protocol anomalies
#
# lots of options available here. See doc/README.http_inspect.
# unicode.map should be wherever your snort.conf lives, or given
# a full path to where snort can find it.
preprocessor http_inspect: global
iis_unicode_map unicode.map 1252

Liegt im Verzeichnis deiner snort.conf die unicode.map?

Hallo,

kurz "Google" angeschmissen und Lösung gefunden:

http://www.linuxquestions.org/questions ... post920226

Gruß

mav1000

das ist das problem. da liegt keine unicode.map. also funktioniert auch die gegoogelte problemlösung vom vorredner nicht, die ja eine pfadanpassung zur map vornimmt (btw: auf einem redhat system). die einzige unicode.map auf dem system ist die:

/usr/share/kbd/keymaps/i386/include/unicode.map.gz

und die kann ja wohl nicht gemeint sein. /etc/snort sieht so aus:

-rw-r----- 1 root snort 4132 Apr 6 2004 attack-responses.rules
-rw-r----- 1 root snort 12580 Apr 6 2004 backdoor.rules
-rw-r----- 1 root snort 2971 Apr 6 2004 bad-traffic.rules
-rw-r----- 1 root snort 4460 Apr 6 2004 chat.rules
-rw-r----- 1 root snort 3521 Apr 6 2004 classification.config
-rw-r----- 1 root snort 6702 Apr 6 2004 ddos.rules
-rw-r----- 1 root snort 47409 Apr 6 2004 deleted.rules
-rw-r----- 1 root snort 4930 Apr 6 2004 dns.rules
-rw-r----- 1 root snort 4087 Apr 6 2004 dos.rules
-rw-r----- 1 root snort 472 Apr 6 2004 experimental.rules
-rw-r----- 1 root snort 12518 Apr 6 2004 exploit.rules
-rw-r----- 1 root snort 3179 Apr 6 2004 finger.rules
-rw-r----- 1 root snort 16774 Apr 6 2004 ftp.rules
-rw-r----- 1 root snort 16017 Apr 6 2004 icmp-info.rules
-rw-r----- 1 root snort 4624 Apr 6 2004 icmp.rules
-rw-r----- 1 root snort 5462 Apr 6 2004 imap.rules
-rw-r----- 1 root snort 1493 Apr 6 2004 info.rules
-rw-r----- 1 root snort 205 Apr 6 2004 local.rules
-rw-r----- 1 root snort 11697 Apr 6 2004 misc.rules
-rw-r----- 1 root snort 1686 Apr 6 2004 multimedia.rules
-rw-r----- 1 root snort 829 Apr 6 2004 mysql.rules
-rw-r----- 1 root snort 17729 Apr 6 2004 netbios.rules
-rw-r----- 1 root snort 838 Apr 6 2004 nntp.rules
-rw-r----- 1 root snort 6155 Apr 6 2004 oracle.rules
-rw-r----- 1 root snort 1401 Apr 6 2004 other-ids.rules
-rw-r----- 1 root snort 3501 Apr 6 2004 p2p.rules
-rw-r----- 1 root snort 5601 Apr 6 2004 policy.rules
-rw-r----- 1 root snort 1070 Apr 6 2004 pop2.rules
-rw-r----- 1 root snort 5148 Apr 6 2004 pop3.rules
-rw-r----- 1 root snort 5061 Apr 6 2004 porn.rules
-rw-r----- 1 root snort 608 Apr 6 2004 reference.config
-rw-r----- 1 root snort 51360 Apr 6 2004 rpc.rules
-rw-r----- 1 root snort 2877 Apr 6 2004 rservices.rules
-rw-r----- 1 root snort 4867 Apr 6 2004 scan.rules
-rw-r----- 1 root snort 4997 Apr 6 2004 shellcode.rules
-rw-r----- 1 root snort 13571 Apr 6 2004 smtp.rules
-rw-r----- 1 root snort 4073 Apr 6 2004 snmp.rules
-rw-r----- 1 root snort 22536 Nov 16 16:04 snort.conf
-rw-r----- 1 root snort 12454 Apr 6 2004 sql.rules
-rw-r----- 1 root snort 3494 Apr 6 2004 telnet.rules
-rw-r----- 1 root snort 2665 Apr 6 2004 tftp.rules
-rw-r----- 1 root snort 6106 Apr 6 2004 virus.rules
-rw-r----- 1 root snort 10366 Apr 6 2004 web-attacks.rules
-rw-r----- 1 root snort 92688 Apr 6 2004 web-cgi.rules
-rw-r----- 1 root snort 1753 Apr 6 2004 web-client.rules
-rw-r----- 1 root snort 8963 Apr 6 2004 web-coldfusion.rules
-rw-r----- 1 root snort 8447 Apr 6 2004 web-frontpage.rules
-rw-r----- 1 root snort 34913 Apr 6 2004 web-iis.rules
-rw-r----- 1 root snort 78006 Apr 6 2004 web-misc.rules
-rw-r----- 1 root snort 32106 Apr 6 2004 web-php.rules
-rw-r----- 1 root snort 578 Apr 6 2004 x11.rules

eine absolut unangetastete suse 9.1 neuinstallation per yast - und es wird ein file was nicht vorhanden ist vorrausgesetzt?

tips?

/etc/snort sieht so aus:

-rw-r----- 1 root snort 4132 Apr 6 2004 attack-responses.rules
-rw-r----- 1 root snort 12580 Apr 6 2004 backdoor.rules
-rw-r----- 1 root snort 2971 Apr 6 2004 bad-traffic.rules

Sind nicht gerade die aktuellesten Rules:

http://www.snort.org/dl/rules/

Ich gehe davon aus, Du hast die Version 2.1 und brauchst:

http://www.snort.org/dl/rules/snortrule ... 2_1.tar.gz

Darin müsste dann auch die korrekte unicode.map sein.

super - du hast recht! neue rules und gut!