Autor
|
Tema: problemas con snort y base (Leído 2,382 veces)
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
Buenas estoy configurando snort , base-1.4.5, mysql y tengo una serie de problemas, por lo visto snort recoje infomacion al ejecutarlo todo correcto, pero base no me muestra los eventos que sucede. he puesto en /etc/snort/snort.conf output database: log, mysql, user=snort password=mi_contraseña dbname=dbsnort host=localhost
sin exito, que esta sucediendo alguna pista. si lanzo el comando bin de snort me muestra captura de paquetes, pero yo quiero que se visualicen en base*. Si necesitais mas informacion de logs o algo avisar.Ando un poco perdido. Gracias.
|
|
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
me dice lo siguiente al lanzar root@debian-2:/etc/init.d# /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/gen-msg.map -S /etc/snort/sid-msg.map -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo bash: /usr/local/bin/barnyard2: No existe el fichero o el directorio
me parece que la ruta no es correcta donde lo descargarias tu barnyard2 para luego hacerle .configure .... make && make install root@debian-2:/usr/src/barnyard2# /etc/init.d/barnyard2 restart /etc/init.d/barnyard2: 14: /etc/init.d/barnyard2: source: not found /etc/init.d/barnyard2: 15: /etc/init.d/barnyard2: source: not found /etc/init.d/barnyard2: 18: [: unexpected operator $Shutting down Snort Output Processor (barnyard2): /etc/init.d/barnyard2: 50: /etc/init.d/barnyard2: killproc: not found $Starting Snort Output Processor (barnyard2):
|
|
« Última modificación: 14 Octubre 2015, 21:34 pm por tecasoft »
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
snort me esta recopilando informacion en /var/log/snort/ 10/15-02:12:47.942347 [**] [1:10000001:0] ”ICMP test” [**] [Priority: 0] {ICMP} 192.168.1.2 -> 192.168.1.10 10/15-02:12:48.191046 [**] [1:10000001:0] ”ICMP test” [**] [Priority: 0] {ICMP} 192.168.1.2 -> 82.98.134.26 10/15-02:12:48.241427 [**] [1:10000001:0] ”ICMP test” [**] [Priority: 0] {ICMP} 82.98.134.26 -> 192.168.1.2
-rwxrwxrwx 1 snort snort 0 oct 13 07:56 alert drwxr-xr-x 3 root root 4096 oct 14 19:14 eth0 -rw------- 1 root root 0 oct 14 18:17 merged.log -rw------- 1 snort snort 0 oct 13 10:20 snort.alert -rw------- 1 snort snort 6 oct 14 19:38 snort_eth0.pid -rw------- 1 snort snort 0 oct 15 02:07 snort_eth0.pid.lck -rw------- 1 snort snort 0 oct 13 10:20 snort.log -rw------- 1 snort snort 0 oct 13 09:30 snort.log.1444721411 -rw------- 1 snort snort 0 oct 13 09:40 snort.log.1444722026 -rw------- 1 snort snort 0 oct 13 09:47 snort.log.1444722446 -rw------- 1 root root 0 oct 14 17:40 snort.log.1444837254 -rw------- 1 snort snort 0 oct 14 19:21 snort.log.1444843300 -rw------- 1 snort snort 0 oct 14 19:26 snort.log.1444843568 -rw------- 1 snort snort 0 oct 14 19:38 snort.log.1444844323 -rw------- 1 snort snort 0 oct 14 19:57 snort.log.1444845468 -rw------- 1 snort snort 221608 oct 15 02:07 snort.log.1444867186
en /etc/snort/snort.conf output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types
en /etc/snort/barnyard2.conf config hostname: localhost config interface: eth0 # config alert_with_interface_name ...... # this is not hard, only unified2 is supported ;) input unified2 ....... # Examples: output database: log, mysql, user=snort password=hacker007 dbname=dbsnort host=localhost # output database: alert, postgresql, user=snort dbname=snort # output database: log, odbc, user=snort dbname=snort # output database: log, mssql, dbname=snort user=snort password=test # output database: log, oracle, dbname=snort user=snort password=test
root@debian-2:/var/log/barnyard2# ls -la total 8 drwxr-xr-x 2 snort snort 4096 oct 13 02:35 . drwxr-xr-x 22 root root 4096 oct 15 07:35 .. root@debian-2:/var/log/barnyard2#
que pasa con barnyard2 no me muestra en base los eventos que genera snort? algun experto por aqui en ids
|
|
« Última modificación: 15 Octubre 2015, 18:16 pm por tecasoft »
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
|