[RESOLU] Démarrage de Snort impssible après maj des règles

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU] Démarrage de Snort impssible après maj des règles

Messagepar mickel64 » 11 Nov 2007 08:42

Bonjour

La dernière mise à jour des règles de Snort s’est mal passée
Lorsque je clique sur le bouton appliquer maintenant j’ai le message
1 défaut(s) de Snort à démarrer

Le log lastrulesupdate

Loading /var/ipcop/snort/oinkmaster.conf
Copying file from /var/log/snort/rules.tar.gz... done.
done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=10237
Setting up rules structures... done.
Comparing new files to the old ones... done.

[***] Results from Oinkmaster started 20071111 07:08:30 [***]

[*] Rules modifications: [*]
None.

[*] Non-rule line modifications: [*]
None.

Est t’il possible d’annuler la dernière Maj ?
Merci
Dernière édition par mickel64 le 12 Nov 2007 08:32, édité 1 fois au total.
mickel64
Matelot
Matelot
 
Messages: 3
Inscrit le: 07 Sep 2007 20:53
Localisation: bayonne

Messagepar Mister-Magoo » 11 Nov 2007 15:04

Annuler la dernière mise à jour ? je sais pas mais j'ai le même problème que toi ...
On va attendre la prochaine mise à jour .....
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar pascal1024 » 11 Nov 2007 17:12

Même problème : service snort arrêté, impossible de le relancer depuis la dernière mise-à-jour... :cry:
Avatar de l’utilisateur
pascal1024
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 23 Mai 2004 18:44
Localisation: Lille (France)

Messagepar mstotor » 11 Nov 2007 18:17

GESP a répondu sur ce thread sur le forum de snort

http://www.snort.org/archive-5-5091.html

extrait :
-----------------------------------
Posted by Gesp on November 08, 2007 17:00:24

Change in /usr/local/bin/snortrules.pl the $rulesbranch value to be
my $rulesbranch="2.6";

the 2.6 branch was only recently created

That will be in IPCop 1.4.17 update
------------------------------------

j'ai fais la modif proposée dans ce même thread en attendant la mise à jour de ipcop 1.4.17

via putty ou wincsp il faut editer le fichier situé içi
/etc/snort/rules/sql.rules
et commenter la ligne 49 (en ajoutant un diese devant #)

ce qui donnera

#alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL version overflow attempt"; flow:to_server; dsize:>100; content:"|04|"; depth:1; reference:bugtraq,5310; reference:cve,2002-0649; reference:nessus,10674; reference:url,www.microsoft.com/technet/security/bulletin/MS02-039.mspx; classtype:misc-activity; sid:2050; rev:10;)

ensuite apres l'edition du fichier soit tu redemarre snort, via putty
soit tu fais via la fenetre WEB de snort, tu fais enregistrer et appliquer maintenant (pas essayé, ca devrait faire la même chose)
et hop snort est redemarré et fonctionnel :wink:

voili voilà
Dernière édition par mstotor le 19 Nov 2007 22:18, édité 2 fois au total.
Avatar de l’utilisateur
mstotor
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 245
Inscrit le: 30 Avr 2003 00:00
Localisation: 2 ieme baobab à gauche

Messagepar pascal1024 » 11 Nov 2007 18:58

Merci beaucoup par l'explication : je vais la mettre de suite en pratique. :D
Avatar de l’utilisateur
pascal1024
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 23 Mai 2004 18:44
Localisation: Lille (France)

Messagepar Mister-Magoo » 12 Nov 2007 07:36

Cette astuce sera à refaire à chaque mise à jour de Snort il me semble, mais en attendant, ça remarche :wink:
Dis-moi de quoi tu as besoin, va visiter le support technique de Mister Magoo et tu apprendras comment t'en passer
Avatar de l’utilisateur
Mister-Magoo
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 217
Inscrit le: 21 Avr 2005 11:31
Localisation: Leyrieu

Messagepar mickel64 » 12 Nov 2007 08:34

Merci à tous et bonne semaine
mickel64
Matelot
Matelot
 
Messages: 3
Inscrit le: 07 Sep 2007 20:53
Localisation: bayonne

Messagepar mab974 » 13 Nov 2007 19:16

mstotor a écrit:GESP a répondu sur ce thread sur le forum de snort

http://www.snort.org/archive-5-5091.html

extrait :
-----------------------------------
Posted by Gesp on November 08, 2007 17:00:24

Change in /usr/local/bin/snortrules.pl the $rulesbranch value to be
my $rulesbranch="2.6";

the 2.6 branch was only recently created

That will be in IPCop 1.4.17 update
------------------------------------

j'ai fais la modif proposée dans ce même thread en attendant la mise à jour de ipcop 1.4.17

via putty ou wincsp il faut editer le fichier situé içi
/etc/snort/rules/sql.rules
et commenter la ligne 49 (en ajoutant un diese devant #)

ce qui donnera

#alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL version overflow attempt"; flow:to_server; dsize:>100; content:"|04|"; depth:1; reference:bugtraq,5310; reference:cve,2002-0649; reference:nessus,10674; reference:url,www.microsoft.com/technet/security/bulletin/MS02-039.mspx; classtype:misc-activity; sid:2050; rev:10;)

ensuite apres l'edition du fichier soit tu redemarre snort, via putty
soit tu fais via la fenetre WEB de snort, tu fais enregistrer et appliquer maintenant
et hop snort est redemarré et fonctionnel :wink:

voili voilà


pour moi, "enregistrer" et "appliquer" annule la modif dans sql.rules. Normal ?
Par contre restart de snort en putty c'est impec.
Avatar de l’utilisateur
mab974
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 13 Nov 2007 18:03

Messagepar PengouinPdt » 15 Nov 2007 16:08

iop all,

perso, après la modif sur 'my $rulesbranch', j'ai du télécharger à nouveau, et là Snort a bien voulu démarrer...

Merci qd même pour l'info, ca aide assurément :wink:
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00

Messagepar pascal1024 » 16 Nov 2007 12:25

Au delà ce ces modifications qui permettent de relancer Snort, quelqu'un sait-il quand la version 1.4.17 sortira ?
Avatar de l’utilisateur
pascal1024
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 23 Mai 2004 18:44
Localisation: Lille (France)

Messagepar gaetanmm2 » 17 Nov 2007 16:42

bonjour ,j'aurais besoin d'aide car je ne mis connait pas beaucoup en linux , ni en language de programmation

j'ai reussi a me connecter en ssh a mon serveur ipcop

il me demande login mdp , je met root et mon mot de passe cela fonctionne

mais apres je ne sais pas quel ligne de commande taper pour acceder au fichier et pouvoir le modifier

quelqu'un pourrait t'il m'aider ?
gaetanmm2
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Nov 2007 16:39

Messagepar gaetanmm2 » 17 Nov 2007 17:26

j'ai un soucis , j'ai trouver en cherchant les lignes de commande sur internet

jai fait vi etc..... pour ouvrir le doc
localiser la ligne
echap a : jai rajouter le #
:wq pour enregistrer

je pense avoir rien oublier mais pourtant snort reste toujours rouge et ne demarre pas jai fait enregistrer et appliquer mm redemarrer ipcop idem ,quelquun saurait ce que j'ai oublié ?

j'ai meme retenter une msj mais cela enleve le # du fichier
gaetanmm2
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Nov 2007 16:39

Messagepar mstotor » 19 Nov 2007 22:12

pour editer un fichier et si la syntaxe de vi ne t'es pas familiere, c'est tout aussi simple de passer sur un PC sous XP et via le programme wincsp (fais une recherche google) de te connecter à IP cop
le port de communication est en SSH comme putty, login root
celà t'ouvre une fenetre graphique et des options de navigation classique ainsi que la commande "editer" :?

si tu ne sais pas redemarrer snort via putty, redemarre ipcop, snort sera demarré logiquement au reboot
Avatar de l’utilisateur
mstotor
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 245
Inscrit le: 30 Avr 2003 00:00
Localisation: 2 ieme baobab à gauche

Messagepar gaetanmm2 » 20 Nov 2007 19:49

j'ai fait ce qui est dit plus haut , et j'ai redemarrer ipcop malheuresement snort ne redemarre pas

alors que la modif du fichier a bien etait enregistrer ....

bizarre

avait vous une idée?
gaetanmm2
Matelot
Matelot
 
Messages: 6
Inscrit le: 17 Nov 2007 16:39

Messagepar M@nu » 20 Nov 2007 20:18

avez-vous re-téléchargé les regles version 2.6 ?
Sinon, snort tente toujours d'utiliser les règles déjà chargée (et donc fausses)
M@nu
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 14 Mai 2004 17:20

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité