problemas con snort y base

Iniciado por tecasoft, 13 Octubre 2015, 11:02 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

tecasoft

13 Octubre 2015, 11:02 AM
Buenas estoy configurando snort , base-1.4.5, mysql y tengo una serie de problemas, por lo visto snort recoje infomacion al ejecutarlo todo correcto, pero base no me muestra los eventos que sucede.
he puesto en /etc/snort/snort.conf

Código (bash) [Seleccionar]

output database: log, mysql, user=snort password=mi_contraseña dbname=dbsnort host=localhost


sin exito, que esta sucediendo alguna pista. si lanzo el comando bin de snort me muestra captura de paquetes, pero yo quiero que se visualicen en base*. Si necesitais mas informacion de logs o algo avisar.Ando un poco perdido. Gracias.
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

EFEX

#1
14 Octubre 2015, 20:58 PM
Instalaste Barnyard2? Es lo que hace posible que los eventos sean legibles y guardados en la base de datos..

https://github.com/firnsy/barnyard2
http://www.hackplayers.com/2011/03/aumentando-el-rendimiento-de-snort-con.html
GITHUB 

tecasoft

#2
14 Octubre 2015, 21:14 PM Ultima modificación: 14 Octubre 2015, 21:34 PM por tecasoft
me dice lo siguiente al lanzar

Código (bash) [Seleccionar]

root@debian-2:/etc/init.d# /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/gen-msg.map -S /etc/snort/sid-msg.map -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo
bash: /usr/local/bin/barnyard2: No existe el fichero o el directorio


me parece que la ruta no es correcta donde lo descargarias tu barnyard2 para luego hacerle .configure .... make && make install

Código (bash) [Seleccionar]

root@debian-2:/usr/src/barnyard2# /etc/init.d/barnyard2 restart
/etc/init.d/barnyard2: 14: /etc/init.d/barnyard2: source: not found
/etc/init.d/barnyard2: 15: /etc/init.d/barnyard2: source: not found
/etc/init.d/barnyard2: 18: [: unexpected operator
$Shutting down Snort Output Processor (barnyard2): /etc/init.d/barnyard2: 50: /etc/init.d/barnyard2: killproc: not found

$Starting Snort Output Processor (barnyard2):
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

tecasoft

#3
15 Octubre 2015, 13:14 PM Ultima modificación: 15 Octubre 2015, 18:16 PM por tecasoft
snort me esta recopilando informacion en /var/log/snort/

Código (bash) [Seleccionar]

10/15-02:12:47.942347  [**] [1:10000001:0] "ICMP test" [**] [Priority: 0] {ICMP} 192.168.1.2 -> 192.168.1.10
10/15-02:12:48.191046  [**] [1:10000001:0] "ICMP test" [**] [Priority: 0] {ICMP} 192.168.1.2 -> 82.98.134.26
10/15-02:12:48.241427  [**] [1:10000001:0] "ICMP test" [**] [Priority: 0] {ICMP} 82.98.134.26 -> 192.168.1.2


Código (bash) [Seleccionar]

-rwxrwxrwx  1 snort snort      0 oct 13 07:56 alert
drwxr-xr-x  3 root  root    4096 oct 14 19:14 eth0
-rw-------  1 root  root       0 oct 14 18:17 merged.log
-rw-------  1 snort snort      0 oct 13 10:20 snort.alert
-rw-------  1 snort snort      6 oct 14 19:38 snort_eth0.pid
-rw-------  1 snort snort      0 oct 15 02:07 snort_eth0.pid.lck
-rw-------  1 snort snort      0 oct 13 10:20 snort.log
-rw-------  1 snort snort      0 oct 13 09:30 snort.log.1444721411
-rw-------  1 snort snort      0 oct 13 09:40 snort.log.1444722026
-rw-------  1 snort snort      0 oct 13 09:47 snort.log.1444722446
-rw-------  1 root  root       0 oct 14 17:40 snort.log.1444837254
-rw-------  1 snort snort      0 oct 14 19:21 snort.log.1444843300
-rw-------  1 snort snort      0 oct 14 19:26 snort.log.1444843568
-rw-------  1 snort snort      0 oct 14 19:38 snort.log.1444844323
-rw-------  1 snort snort      0 oct 14 19:57 snort.log.1444845468
-rw-------  1 snort snort 221608 oct 15 02:07 snort.log.1444867186



en /etc/snort/snort.conf
Código (bash) [Seleccionar]

output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types



en /etc/snort/barnyard2.conf

Código (bash) [Seleccionar]

config hostname:  localhost
    config interface: eth0
#     config alert_with_interface_name

......
# this is not hard, only unified2 is supported ;)
input unified2
.......
# Examples:
  output database: log, mysql, user=snort password=hacker007 dbname=dbsnort host=localhost
#   output database: alert, postgresql, user=snort dbname=snort
#   output database: log, odbc, user=snort dbname=snort
#   output database: log, mssql, dbname=snort user=snort password=test
#   output database: log, oracle, dbname=snort user=snort password=test



Código (bash) [Seleccionar]

root@debian-2:/var/log/barnyard2# ls -la
total 8
drwxr-xr-x  2 snort snort 4096 oct 13 02:35 .
drwxr-xr-x 22 root  root  4096 oct 15 07:35 ..
root@debian-2:/var/log/barnyard2#



que pasa con barnyard2 no me muestra en base los eventos que genera snort? algun experto por aqui en ids
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
Imprimir
Ir Arriba Páginas1
Acciones del Usuario