Règles Snort sous Debian

Bonjour à tous

J’ai un serveur sous Debian Lenny, avec Snort 2.7.0 et oinkmaster 2.0.

Je vais maintenant détailler mon problème, les règles de snort sont dans /etc/snort/rules. J’ai essayé d’implémenter les règles suivantes :

confickerworkinggroup.org/wi … kDetection

Seulement voilà, lorsque je redémarre snort, je reçois le message “failed”, j’en déduis donc qu’il ne sait pas lancer et que quelque chose le gêne.

En allant voir les logs dans /var/log/syslog, j’ai ce message :

FATAL ERROR: /etc/snort/rules/conficker.rules(15) => Invalid port: [!1720,!1722,!2427,!5060,1024

Apparemment, il n’aime pas les ports avec des crochets, pouvez-vous m’éclaircir ce point svp ?

Pour ceux qui ont déjà utilisé snort, aviez-vous eu le même problème ?

Merci

salut,

je ne connais pas snort, mais je me demande si cela ne vient pas du port 1024 à lafin de la liste, car les 1024 premiers ports sont réservésnormalement. Essaies voir en mettant un port supperieur à 1024 car le message d’erreur dit invalid port et non fichier de config invalide

Bonjour à toi

J’ai modifié la règle en mettant seulement 1024: (port 1024 et supérieur) et ça fonctionne.

Penses-tu que ça prendra en compte les ports 1720, 1722, 2427 et 5060 ?

Merci.