Installation snort/mysql

Support Debian
#1

Bonjour,

voila mon soucis : j’ai suivi le tutoriel sur lea pour installer snort en fonctionnement avec mysql
la base est bien créé, le compte snort fonctionne les tables sont presente dans la base, les rules sont bien installé mais quand je lance snort avec cette commande :

/usr/local/snort/snort-2.6.1.3/src/snort -c /etc/snort/snort.conf

j’obtiens l’erreur suivante :

[…]
Apache WhiteSpace: YES alert: NO
IIS Delimiter: YES alert: NO
IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG
Non-RFC Compliant Characters: NONE
Whitespace Characters: 0x09 0x0b 0x0c 0x0d
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
alert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
Portscan Detection Config:
Detect Protocols: TCP UDP ICMP IP
Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan
Sensitivity Level: Low
Memcap (in bytes): 10000000
Number of Nodes: 36900

ERROR: Rule-Threshold-Parse: could not create a threshold object – only one per sid, sid = 2275
Fatal Error, Quitting…

je pense que ce probleme va etre dure a gerer… mais bon on sait jamais

merci d’avance

#2

Ici drwho.virtadpt.net/pivot/entry.php?id=99 il est dit:

[quote]If you’re going to be using the new threshold functionality (which causes rules to trigger after a certain number fo hits), make sure that you put a sid:1000000 directive in your rule, otherwise Snort will error out with an “FATAL ERROR: Rule-Threshold-Parse: could not create a threshold object – only one per sid, sid = 0” message. That means that it assigned the bad rule a sid of 0, but if you’re running a set of rules already that means the very first rule in the set… and it already has a threshold on it. It’ll try to apply the threshold on your rule to the very first in the set, and die because it can’t do that. So give your rule a sid value somewhere over one million to prevent this conflict.[/quote]En gros, tu dois avoir un doublon sur un sid:2275 quelquepart dans la config.
Reste juste à trouver ou.

#3

comment chercher ? :confused:

snort.conf , threshold.conf autres ?

#4

Aucune idée, j’ai juste cherché sur le net et trouvé ça qui me paraissait clair quant à la cause.
Fais un grep “sid:2275” ?
AMA, c’est dans threshold.conf…

#5

en tout cas merci pour ton aide
le grep “sid:2275” est en cours c’est super long

#6

pas fonctionné le grep, ca me rend pas la main

#7

Le grep, tu lui a passé des arguments au moins (autre que ce que tu cherches, parceque si tu n’a pas precisé dans quels fichier tu cherchais, il attend ce que tu tapes pour te dire s’il y trouve le motif) ?
Tu sais ce que fait grep et tu sais t’en servir ?
Si non, as tu lu man grep ?

Le but c’est de chercher dans les fichiers. Je ne sais pas quelle interface graphique tu utilises eventuellement, mais si tu n’es pas à l’aise avec le grep, tu as peut être une bête recherche de fichier à faire dans ton explorateur, non ?

#8

je mettais mi a la racine je pensais qu’il y avait pas besoin de rajouter /
en tout cas il trouve rien :frowning:

#9

Ecoute, il faut parfois se sortir les doigts du cul et reflechir un peu::

  • qu’est ce que tu va chercher à la racine des fichiers concernant la config de snort ? ce sont ceux de /etc/snort qu’il faut regarder !
  • est ce que tu sais te debrouiller tout seul ? Je t’ai indiqué la commande grep et dit comment avoir la doc (man grep) l’as tu lue au moins ?

Alors pour chercher dans tous les fichier de /etc/snort les fichiers qui contiennent “2275”, ça donne:

(avec -r pour rechercher recursivement, sinon, il ne va pas chercher plus loin que le fichier /etc/snort, et comme ce fichier n’existe pas il ne trouve bien sûr rien).

Allez courage, et désolé de la causticité, j’imagine que tu n’es pas encore trés à l’aise mais bon, le forum n’est pas là pour donner des recettes mais pour aider à faire ce que l’on fait en le comprenant.

#10

ta copine t’a plaqué ?

#11

[quote=“gangan”]ta copine t’a plaqué ?[/quote] :laughing:
Non non. Je suis comme ça naturellement par épisodes…
Et en général, ça monte facilement quand j’aide quelqu’un et que ça traine :wink:

Bon, tu as trouvé le fichier qui contenait le problême ?

#12

mdr

grep “2275” /etc/snort -r
/etc/snort/rules/dos.rules:alert udp $EXTERNAL_NET any -> $HOME_NET 2048 (msg:“DOS squid WCCP I_SEE_YOU message overflow attempt”; content:"|00 00 00 08|"; depth:4; byte_test:4,>,32,16; reference:bugtraq,12275; reference:cve,2005-0095; classtype:attempted-user; sid:3089; rev:2;)
/etc/snort/rules/smtp.rules:alert tcp $SMTP_SERVERS 25 -> $EXTERNAL_NET any (msg:“SMTP AUTH LOGON brute force attempt”; flow:from_server,established; content:“Authentication unsuccessful”; offset:54; nocase; threshold:type threshold, track by_dst, count 5, seconds 60; classtype:suspicious-login; sid:2275; rev:2;)
/etc/snort/rules/sid-msg.map:2275 || SMTP AUTH LOGON brute force attempt
/etc/snort/rules/sid-msg.map:3089 || DOS squid WCCP I_SEE_YOU message overflow attempt || bugtraq,12275 || cve,2005-0095
/etc/snort/doc/signatures/2275.txt:2275

#13

Bon, ben en plus, je t’ai stressé pour rien puisque ça ne donne rien…
Alors j’ai vu que ça n’etait pas forcément un doublon dans un fichier, mais que ça pouvait être une répètition d’include dans snort.conf.
As tu modifié quelquechose à la config depuis que tu as installé le paquet par apt ?
que donne grep "include" /etc/snort/snort.conf ?

#14

Un lancement par strace en dérivant la sortie sur un fichier temporaire via 2> /tmp/gros_fichier permettrait de savoir quand il a lu 2 fois sid:2275 et dans quel(s) fichier(s)…

#15

zobiiiiiiii c’est ca mattotop :slightly_smiling:

j’essaye strace quand meme, je connaissais pas merci fran.b