elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  problemas con snort y base
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: problemas con snort y base  (Leído 2,343 veces)
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
problemas con snort y base
« en: 13 Octubre 2015, 11:02 am »

Buenas estoy configurando snort , base-1.4.5, mysql y tengo una serie de problemas, por lo visto snort recoje infomacion al ejecutarlo todo correcto, pero base no me muestra los eventos que sucede.
he puesto en /etc/snort/snort.conf

Código
  1. output database: log, mysql, user=snort password=mi_contraseña dbname=dbsnort host=localhost
  2.  

sin exito, que esta sucediendo alguna pista. si lanzo el comando bin de snort me muestra captura de paquetes, pero yo quiero que se visualicen en base*. Si necesitais mas informacion de logs o algo avisar.Ando un poco perdido. Gracias.


En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: problemas con snort y base
« Respuesta #1 en: 14 Octubre 2015, 20:58 pm »

Instalaste Barnyard2? Es lo que hace posible que los eventos sean legibles y guardados en la base de datos..

https://github.com/firnsy/barnyard2
http://www.hackplayers.com/2011/03/aumentando-el-rendimiento-de-snort-con.html


En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: problemas con snort y base
« Respuesta #2 en: 14 Octubre 2015, 21:14 pm »

me dice lo siguiente al lanzar

Código
  1. root@debian-2:/etc/init.d# /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/gen-msg.map -S /etc/snort/sid-msg.map -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo
  2. bash: /usr/local/bin/barnyard2: No existe el fichero o el directorio
  3.  

me parece que la ruta no es correcta donde lo descargarias tu barnyard2 para luego hacerle .configure .... make && make install

Código
  1. root@debian-2:/usr/src/barnyard2# /etc/init.d/barnyard2 restart
  2. /etc/init.d/barnyard2: 14: /etc/init.d/barnyard2: source: not found
  3. /etc/init.d/barnyard2: 15: /etc/init.d/barnyard2: source: not found
  4. /etc/init.d/barnyard2: 18: [: unexpected operator
  5. $Shutting down Snort Output Processor (barnyard2): /etc/init.d/barnyard2: 50: /etc/init.d/barnyard2: killproc: not found
  6.  
  7. $Starting Snort Output Processor (barnyard2):
  8.  
« Última modificación: 14 Octubre 2015, 21:34 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: problemas con snort y base
« Respuesta #3 en: 15 Octubre 2015, 13:14 pm »

snort me esta recopilando informacion en /var/log/snort/

Código
  1. 10/15-02:12:47.942347  [**] [1:10000001:0] ”ICMP test[**] [Priority: 0] {ICMP} 192.168.1.2 -> 192.168.1.10
  2. 10/15-02:12:48.191046  [**] [1:10000001:0] ”ICMP test[**] [Priority: 0] {ICMP} 192.168.1.2 -> 82.98.134.26
  3. 10/15-02:12:48.241427  [**] [1:10000001:0] ”ICMP test[**] [Priority: 0] {ICMP} 82.98.134.26 -> 192.168.1.2
  4.  

Código
  1. -rwxrwxrwx  1 snort snort      0 oct 13 07:56 alert
  2. drwxr-xr-x  3 root  root    4096 oct 14 19:14 eth0
  3. -rw-------  1 root  root       0 oct 14 18:17 merged.log
  4. -rw-------  1 snort snort      0 oct 13 10:20 snort.alert
  5. -rw-------  1 snort snort      6 oct 14 19:38 snort_eth0.pid
  6. -rw-------  1 snort snort      0 oct 15 02:07 snort_eth0.pid.lck
  7. -rw-------  1 snort snort      0 oct 13 10:20 snort.log
  8. -rw-------  1 snort snort      0 oct 13 09:30 snort.log.1444721411
  9. -rw-------  1 snort snort      0 oct 13 09:40 snort.log.1444722026
  10. -rw-------  1 snort snort      0 oct 13 09:47 snort.log.1444722446
  11. -rw-------  1 root  root       0 oct 14 17:40 snort.log.1444837254
  12. -rw-------  1 snort snort      0 oct 14 19:21 snort.log.1444843300
  13. -rw-------  1 snort snort      0 oct 14 19:26 snort.log.1444843568
  14. -rw-------  1 snort snort      0 oct 14 19:38 snort.log.1444844323
  15. -rw-------  1 snort snort      0 oct 14 19:57 snort.log.1444845468
  16. -rw-------  1 snort snort 221608 oct 15 02:07 snort.log.1444867186
  17.  
  18.  

en /etc/snort/snort.conf
Código
  1. output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types
  2.  
  3.  

en /etc/snort/barnyard2.conf

Código
  1. config hostname:  localhost
  2.     config interface: eth0
  3. #     config alert_with_interface_name
  4.  
  5. ......
  6. # this is not hard, only unified2 is supported ;)
  7. input unified2
  8. .......
  9. # Examples:
  10.   output database: log, mysql, user=snort password=hacker007 dbname=dbsnort host=localhost
  11. #   output database: alert, postgresql, user=snort dbname=snort
  12. #   output database: log, odbc, user=snort dbname=snort
  13. #   output database: log, mssql, dbname=snort user=snort password=test
  14. #   output database: log, oracle, dbname=snort user=snort password=test
  15.  
  16.  

Código
  1. root@debian-2:/var/log/barnyard2# ls -la
  2. total 8
  3. drwxr-xr-x  2 snort snort 4096 oct 13 02:35 .
  4. drwxr-xr-x 22 root  root  4096 oct 15 07:35 ..
  5. root@debian-2:/var/log/barnyard2#
  6.  
  7.  

que pasa con barnyard2 no me muestra en base los eventos que genera snort? algun experto por aqui en ids
« Última modificación: 15 Octubre 2015, 18:16 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problemas con la base de datos.
Bases de Datos
christiantain 2 2,497 Último mensaje 18 Febrero 2014, 20:34 pm
por christiantain
como instalariais snort y base?
Seguridad
tecasoft 1 1,700 Último mensaje 14 Octubre 2015, 20:49 pm
por EFEX
Sobre reglas snort « 1 2 »
Hacking
Agustín Cuba 17 9,429 Último mensaje 25 Agosto 2022, 17:36 pm
por Agustín Cuba
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines