Snortのルール Snortには、たくさんのルール作成方法があり、全てを理解するのは、かなり難しいです。けれど、うまく使えれば、欲しいログだけを綺麗に取れると思います。 ルールは ①ルールアクション部 ②プロトコル部 ③アドレス部 ④ポート番号部 ⑤パケット方向部 ⑥オプション部 の6つから成り立っています。 web-iis.rulesのファイルの中に ①alert ②tcp ③$EXTERNAL_NET ④any -> ⑤$HTTP_SERVERS ⑥$HTTP_PORTS (⑦msg:"WEB-IIS cmd.exe access"; ⑧flags:A+; ⑨content:"cmd.exe"; ⑩nocase; classtype:web-application-attack; ⑪sid:1002; rev:5;) のシグネチャがあります。 上記の例ですとルールアクション部は①、プ
■wheezyにsnortの導入、「local.rules」の追加。 過去にLenny/Squeezeにも入れましたが バラバラになってて、探したり書き直したりするのが面倒なので。。。 TORは「Emerging Threats(ET)」ルールから取得しなくても デフォルトのルールに入ったようですね。 ■今回はDB無しでサクッと入れてしまいます。 $ sudo apt-get install -y snort $ sudo dpkg-reconfigure snort ■Apache Killerはデフォルトにある。 $ grep -i "mod_jrun" /etc/snort/rules/*.rules | sed s/"; "/"&\n"/g | sed s/"(msg"/"\n&"/ /etc/snort/rules/community-web-misc.rules:alert t
Snortのルールセットがある場所は、インストールされる環境によって異なる。前回までの設定では「/etc/snort」以下にあるのだが、各ルールセットにはそれぞれ個別にルールが記述されている。 ルールは # cd /etc/snort # grep phf *.rules web-cgi.rules:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB -CGI phf arbitrary command execution attempt";flags:A+; uricontent:"/phf"; nocas e; content:"QALIAS"; nocase; content:"%0a/"; reference:bugtraq,629; reference:ar achnids,128; referen
Libcapは元々入っていた。libcap-1.10-26-i386 PCREは元々入っていた。pcre-6.6-2.el5_1.7-i386 DAGのリポジトリをインストール # rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/rpmforge-release-0.3.6-1.el5.rf.i386.rpm # yum install libnet libnetfilter_conntrack libnetfilter_conntrack-devel Barnyardをダウンロードしてインストール # wget http://www.snort.org/downloads/74 # tar zxvf barnyard-0.2.0.tar.gz # cd barnyard-0.2.0 # ./configure # ma
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く