Update fixes1 mallard

Forum de discution sur la distribution smoothwall de linux, dédiée à la mise en place de passerelles sécurisées.

Modérateur: modos Ixus

Messagepar caylat » 08 Mars 2003 23:37

Au secours !!! <BR> <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Suite au message sur le trou de sécurité de Snort et en voyant qu'un fix était sorti pour la beta4 à ce propos, je me suis précipité sur l'update en question. <BR> <BR>J'ai tout bien fait, j'ai rebooté l'animal, aucun souci jusque là... <BR> <BR>Et puis en regardant d'un peu plus près : plus de Snort dans les services démarrés ! J'ai essayé de le redémarrer par en interface web... Rien à faire. <BR> <BR>Je me suis scanné un coup : aucun log !!! <BR> <BR> <BR>Que se passe-t-il ? <BR>Quelqu'un d'autre a-t-il fait cette mise à jour ? <BR> <BR> <BR>Merci d'avance.
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00

Messagepar loadlin » 09 Mars 2003 12:34

Pour IPCop 1.2.0, il a été nécessaire de faire 2 mises à jour successives : <BR> <BR>001 fixes1 update This update fixes the security issues with Snort and SSL that were recently discovered. See link for details. A reboot is required!!! <BR>002 fixes2 update This update fixes the Snort configuration and rules that no longer functioned after fixes1. See link for details. A reboot is not required. <BR> <BR>Par contre je ne sais pas ce qu'il en est pour Smoothwall... <BR>
Avatar de l’utilisateur
loadlin
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 12 Jan 2003 01:00
Localisation: Paris

Messagepar gi-joe » 09 Mars 2003 13:41

j' ai appliqué le patch mais par contre je n' ai pas rebooté... De toute façon, ce patch ne fait que commenter la ligne preprocessor rpc_decode dans un fichier dans le fichier de conf de snort(qui est en principe(je me trompe peut être) relut a chaque redemarrage de snort) et donc une desactivation puis un reactivation de snort doit suffire.Apres si il y a d' autres modifications, elle ne sont pas explicités...
Avatar de l’utilisateur
gi-joe
Major
Major
 
Messages: 78
Inscrit le: 01 Nov 2002 01:00

Messagepar caylat » 09 Mars 2003 14:32

Et si je balance mes logs, ça aide quelqu'un à m'aider ? <BR> <BR>Merci d'avance. <BR> <BR> <BR> <BR>Mar 9 13:29:56 smoothwall smoothwall: Snort is enabled <BR>Mar 9 13:29:56 smoothwall kernel: device ppp0 entered promiscuous mode <BR>Mar 9 13:29:56 smoothwall snort: Initializing daemon mode <BR>Mar 9 13:29:56 smoothwall snort: PID path stat checked out ok, PID path set to /var/run/ <BR>Mar 9 13:29:56 smoothwall snort: Writing PID "3853" to file "/var/run//snort_ppp0.pid" <BR>Mar 9 13:29:56 smoothwall snort: http_decode arguments: <BR>Mar 9 13:29:56 smoothwall snort: Unicode decoding <BR>Mar 9 13:29:56 smoothwall snort: IIS alternate Unicode decoding <BR>Mar 9 13:29:56 smoothwall snort: IIS double encoding vuln <BR>Mar 9 13:29:56 smoothwall snort: Flip backslash to slash <BR>Mar 9 13:29:56 smoothwall snort: Include additional whitespace separators <BR>Mar 9 13:29:56 smoothwall snort: Ports to decode http on: 80 <BR>Mar 9 13:29:56 smoothwall snort: telnet_decode arguments: <BR>Mar 9 13:29:56 smoothwall snort: Ports to decode telnet on: 21 23 25 119 <BR>Mar 9 13:29:56 smoothwall snort: Conversation Config: <BR>Mar 9 13:29:56 smoothwall snort: KeepStats: 0 <BR>Mar 9 13:29:56 smoothwall snort: Conv Count: 32000 <BR>Mar 9 13:29:56 smoothwall snort: Timeout : 60 <BR>Mar 9 13:29:56 smoothwall snort: Alert Odd?: 0 <BR>Mar 9 13:29:56 smoothwall snort: Allowed IP Protocols: <BR>Mar 9 13:29:56 smoothwall snort: All <BR>Mar 9 13:29:56 smoothwall snort: <BR>Mar 9 13:29:56 smoothwall snort: FATAL ERROR: ERROR /usr/local/lib/snort/misc.rules (28) => Rule IP addr (64.12.) didn't x-late, WTF? <BR>Mar 9 13:29:56 smoothwall kernel: device ppp0 left promiscuous mode <BR>
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00

Messagepar gi-joe » 09 Mars 2003 15:49

tu as peut être un pb a la ligne 28 de ton fichier misc.rules,au fait 64.12, c' est le debut de ton ip?Sinon peut etre que snort plante sur cette ip,64.12 n' étant pas une ip valide?La ligne 28 de misc.rules elle te donne quoi?(le debut de l'ad ip 64.12 chez moi ça semble correspondre a un serveur de aim...).Essayes de commenter cette ligne 28(temporairement) et derelancer snort.Si çamarche mieux alors cette ligne a de fortes chancesd' être la source de ton probleme) <BR><BR><font size=-2></font>
Avatar de l’utilisateur
gi-joe
Major
Major
 
Messages: 78
Inscrit le: 01 Nov 2002 01:00

Messagepar caylat » 09 Mars 2003 16:25

tu as peut être un pb a la ligne 28 de ton fichier misc.rules,au fait 64.12, c' est le debut de ton ip?Sinon peut etre que snort plante sur cette ip,64.12 n' étant pas une ip valide?La ligne 28 de misc.rules elle te donne quoi?(le debut de l'ad ip 64.12 chez moi ça semble correspondre a un serveur de aim...).Essayes de commenter cette ligne 28(temporairement) et derelancer snort.Si çamarche mieux alors cette ligne a de fortes chancesd' être la source de ton probleme) <BR> <BR> <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Ben ça marche pas mieux : j'ai vérifié sur une autre machine qui est a la même distrib, j'ai fait la mise à jour : aucun problème !!! <BR> <BR>Après, j'ai essayé de comparer les fichiers de conf du répertoire snort : tous identiques !!! <BR> <BR>J'ai commenté la ligne 28 de misc.rules : erreur à la ligne 29 maintenant... <BR> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Au secours !!! <BR>
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00

Messagepar caylat » 09 Mars 2003 17:02

A priori, mon problème provient du filtrage de premier niveau que j'effectue avec squid. La mémoire du smoothwall est saturée et n'accepte plus de charger correctement les règles de Snort. <BR> <BR>Donc ce sera Snort ou le filtrage... <BR> <BR>Dommage.
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00

Messagepar gi-joe » 09 Mars 2003 17:21

a la ligne 28 et 29 j' ai une reference a une variable AIM_SERVERS, donc si lorsque tu as commenté la ligne 28 et que maintenant tu as une erreur a la ligne 29, alors la variable AIM_SERVERS doit peut être être mal configurée.regardes si dans /etc/snort.conf ou /usr/local/lib/snort/snort.conf si tu n'as pas une adresse ip bizarre dans AIM_SERVERS (normalement c' est dans les 1eres lignes dans le snort de /etc)
Avatar de l’utilisateur
gi-joe
Major
Major
 
Messages: 78
Inscrit le: 01 Nov 2002 01:00

Messagepar caylat » 09 Mars 2003 19:36

Super, merci ! <BR>J'ai commenté les lignes 28 et 29 et ça remarche comme avant. <BR>Mais pourquoi ? <BR>Il y a bien une liste d'IP qi commencent par 64.12. dans le snort.conf. J'ai l'impression qui si j'avais commenté la ligne dans le snort.conf, j'aurais eu le même résultat. <BR> <BR>Serai-je toujours prévenu des attaques en provenance d'utilisateur AOL ? <BR> <BR>En tous les cas, merci pour le coup de main. <BR> <BR>Une question quand même : y a-t-il une solution pour continuer à bénéficier de la protection complète de snort en cherchant la solution à ce petit souci autre part ? <BR> <BR>Merci encore. <BR> <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00

Messagepar grosbedos » 09 Mars 2003 20:49

tiens c les lignes 28 et 29 (chai pa si c la meme version..g la 1.2.0) <BR>au tout cas y a l'adress complete..c deja ca <BR> <BR>alert tcp [64.12.163.0/24,205.188.9.0/24] any -> $HOME_NET any (msg:"MISC AIM AddGame attempt"; flags:A+; content:"aim:AddGame?"; nocase; reference:url,www.w00w00.org/files/w00aimexp/; reference:bugtraq,3769; reference:cve,CAN-2002-0005; classtype:misc-attack; sid:1393; rev:8;) <BR>alert tcp [64.12.163.0/24,205.188.9.0/24] any -> $HOME_NET any (msg:"MISC AIM AddExternalApp attempt"; flags:A+; content:"aim:AddExternalApp?"; nocase; reference:url,www.w00w00.org/files/w00aimexp/; classtype:misc-attack; sid:1752; rev:2;) <BR>
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar laubean » 10 Mars 2003 03:21

Verifie dans le fichier snort.conf s'il n'y a pas une erreur dansl'adresse IP (un espace se serait inséré dans l'adresse IP (voir ligne 18).
Avatar de l’utilisateur
laubean
Major
Major
 
Messages: 77
Inscrit le: 22 Août 2002 00:00

Messagepar caylat » 10 Mars 2003 17:42

Je répète : j'ai recopié les fichiers d'une smoothwall qui tourne correctement sur celle qui est bancale : ça n'a rien changé... <BR> <BR>Dès que j'ai activé le proxy filtrant par squid sur la machine qui fonctionnait bien, elle n'a plus réussi à gérer Snort.
Avatar de l’utilisateur
caylat
Major
Major
 
Messages: 81
Inscrit le: 30 Jan 2003 01:00


Retour vers Smoothwall

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron