|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitry Esarev 2:5080/236 06 Mar 2004 17:11:28
To : All
Subject : трабла со snort
--------------------------------------------------------------------------------
Трабла в том, что снорт через некоторое время после запуска перестает
реагировать на события. (алертов нет ни в скан-логе - ни в мускловой базе).
Ждал день - ситуация не изменилась. Пока что только помогает рестарт по крону.
Железки: ip166/72Mb/rtl8029as{наружу},genius-pnpIIIisa
Софтец: OpenBSD-3.4, Snort-2.0.6
вот кусок конфига снорта (без var и без rules):
------------------------------------------------------------
config detection: search-method lowmem
preprocessor stream4: detect_scans, disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor portscan-ignorehosts: 123.123.122.12 123.123.111.11
preprocessor arpspoof
preprocessor conversation: allowed_ip_protocols all, timeout 60,
max_conversations 3000
preprocessor portscan2: scanners_max 256, targets_max 1024, target_limit 5,
port_limit 20, timeout 60
output database: alert, mysql, user=xxxxxxxx password=xxxxxxxx dbname=snort
host=localhost
------------------------------------------------------------
# ps -axww
1 ?? Is 0:00.28 /sbin/init
18569 ?? Is 0:13.02 syslogd: [priv] (syslogd)
22720 ?? I 3:41.35 syslogd -a /var/empty/dev/log
26756 ?? Is 1:14.87 pflogd
3410 ?? Is 0:56.36 httpd: parent (httpd)
30100 ?? Is 0:00.09 inetd
22831 ?? I 2:42.73 httpd: child (httpd)
28592 ?? Is 0:00.11 /usr/sbin/sshd
1273 ?? Is 0:09.03 cron
17762 ?? I 3:00.28 httpd: child (httpd)
8760 ?? Is 0:47.82 /usr/local/sbin/trafd -r -p -i ne2 ip and dst or src
port not 137 and not 138 and not 139 and not 445 and dst or src 123.123.123.11
13417 ?? I 2:29.36 httpd: child (httpd)
4452 ?? Is 0:05.86 /usr/local/snort/bin/snort -D -t /usr/local/snort -c
./etc/snort.conf -u snort -g snort -l ./log -p -N -i ne2 dst host 123.123.123.11
28465 01 Is 0:01.31 -bash (bash)
8865 01 I 0:00.11 /bin/sh /usr/local/mysql/bin/mysqld_safe --datadir=/va
r/mysql --pid-file=/var/mysql/srv.home.net.pid
28935 01 I 6:15.16 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/m
ysql --datadir=/var/mysql --user=mysql --pid-file=/var/mysql/srv.home.net.pid
--port=3306 --socket=/var/run/mysql/mysql.sock
13397 01 R+ 0:00.01 ps -axwww
5981 C0 Is+ 0:00.04 /usr/libexec/getty Pc ttyC0
# top -U snort
load averages: 0.12, 0.11, 0.08 16:12:22
20 processes: 1 running, 19 idle, 0 zombie
CPU states: 0.5% user, 0.0% nice, 0.0% system, 0.0% interrupt, 99.5% idle
Memory: Real: 41M/72M act/tot Free: 4824K Swap: 27M/50M used/tot
PID USERNAME PRI NICE SIZE RES STATE WAIT TIME CPU COMMAND
4452 snort 4 0 27M 27M sleep bpf 0:06 0.00% snort
wbr, Dmitry
--- ed[at]fi.rsvpu.ru icq: 50080573
* Origin: Frozen Time BBS (2:5080/236)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
трабла со snort |
Dmitry Esarev |
06 Mar 2004 17:11:28 |
|
|
