snort
Pavel Pivonka
pavel.pivonka na centrum.cz
Čtvrtek Červen 3 00:51:34 CEST 2004
Ahoj,
zacinam se snortem a mam nekolik problemu. V me konfigurace sonda uklada
udalosti do MySQL a pro frondend pouzivam ACIDLAB. Prilozil jsem sve
konfiguraky a jeden vzorovej soubor pravidel, ktere pouzivam. Mám
následující problemy:
1) Zobrazuji se mi udalosti, o nihz mam vazne pochybnosti. Jedna se
napriklad o nasledujici WEB-IIS fpcount attempt ci WEB-PHP PayPal
Storefront arbitrary command execution attempt . Tech druhych melo byt cca
2500 z moji adresy a to mi nejak nesedi. Vim, ze se tam tyzo cinnosti nedejí
a viry by tam byt nemely.
2) Kdyz si na to z jineho stroje puszim teardrop, tak ho to vubec
nezaznamena.
3) Pri vyhledavani je tam max rok 2003, coz nejde dohromady s dnesnim datem
4) zatim jsem nejak nepobral ty alertgroupy
PS: Pouzivam Debian Stable, ACID 0.96 a snort 2.1.0
Pokud někdo víte o zvlastni ceske konfere na Snort, tak mi dejte prosim
kontsakt. Jinak ocenim kaydou radu.¨
Pavel
Další informace o konferenci Linux