Snort mort mais le sous système reste vérouillé

[Gandalf]

Moi qui croyais en avoir terminé avec ce MNF et bien il n'en est rien, Snort ne démarre plus. J'ai trouvé un vieux poste de Rik Dangerous qui avait eu ce pb mais il n'a pas laissé de solution !
Jacques préconise qques tests que j'ai fait , mais là je ne suis pas assez calé les amis, il va falloir m'aider :

service snortd status : Snort mort mais le sous système reste vérouillé
service snortd stop : echec
service snortd start : OK ( )

ensuite dans var/log/messages :

mnf snortd: snort shutdown failed

device ppp0 entered promiscuous mode
Initializing daemon mode
PID path stat checked out ok, PID path set to /var/run/
Writing PID "21400" to file "/var/run//snort_ppp0.pid"
http_decode arguments:
[...]
Ports to decode http on: 80
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
Falert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
snort startup succeeded
telnet_decode arguments:
Ports to decode telnet on: 21 23 25 119
FATAL ERROR: unknown preprocessor "asn1_decode"
device ppp0 left promiscuous mode

Je n'ai à priori aucun fichier dans /var/lock, et là je ne comprends plus, si qqu'un était assez généreux pour me louer ses neurones 2 minutes ? Merci !

[Jacques-]

Tu n'aurais pas le fichier de verrou dans ce répertoire par exemple :

Writing PID "21400" to file "/var/run//snort_ppp0.pid"

Regarde le script servant à lancer et arrêter snort dans /etc/rc.d/init
Tu devrais trouver ce qui est vérifié et provoque l'émission du message (les messages en français sont en anglais dans le script et traduits par gettext).

Ensuite, s'il ne démarre pas une fois le verrou enlevé, ce sera un peu plus compliqué à régler.
Vérifie aussi s'il n'y a pas de mise à jour de snort en attente, ou s'il n'a pas été remplacé récemment (on trouve les traces des changements RPMS dans messages, ou dans les archives messages.1.gz, etc... (via une commande zcat messages.1.gz | grep snort par exemple).

Jacques

[Gandalf]

J'ai dans /etc/snort/snort.conf un préprocess qui s'appelle asn1_decode, je l'ai mis en commentaire et snort refonctionne à nouveau correctement ( stop / start /status= en cours de focntionnement ).

Quelqu'un sait-il ce qu'est ce asn1_decode et pourquoi il fait planter snort ?

[Gandalf]

Oupps Jacques j'ai posté en même temps que toi, je n'avais pas vu ton post, je vais regarder ce que tu me conseilles, merci !

[Jacques-]

De tête : ASN = Abstract Syntax Notation
C'est une façon de décrire des objets en mode texte, avec le comportement de ceux-ci, les paramètres possibles, etc...
C'est surtout utilisé pour les MIB, donc je pense que snort s'en sert pour décoder le SNMP.

A vérifier sur le site de snort, et en même temps rechercher le module adapté à la version en cours sur la MNF.

Jacques

[Gandalf]

J'ai trouvé des infos qui donnent drôlement envie de faire plus ample connaissance avec ce protocole asn1 :
"ASN1_decode is an experimental beta preprocessor that may generate more false positives than other preprocessors. It has no configuration options at this time."