Reading time: 1 – 2 minutes
Després d molt tems amb l’snort abandonat, he decidit actualitzar-lo
a la útlima versió 1.81. Obviament tb he actualitzat les rules i
he posat el fitxer d configuració (snort.conf) segons el meu sistema per
evitar excessius falsos positius.
Pel q fa als analitzadors d logs no només he actualitzat l’ACID a
l’última versió q fa grafiquetes i cosetes 🙂 sinó q tb he
afegit el DEMARC q és un analitzador q no havia provat abans i q
té uns resultats prou espectaculars i útils. Sobre tot per xarxes
una mica grans.
Cal destacar tb q la pagina d l’snort ha canviat totalment i q té noves
seccions i les seccions d sempre renovades i re-organitzades 🙂
Un detall q no havia tingut fins ara quan generaba els “snort statics” (afegint
el -static al Makefile) és q les dades de la connexió a la BBDD
MySQL no van xifrades, no estaria d més perdre una mica d temps amb una
útilitat tipus stunnel per poder encriptar aquesta connexió.
4 thoughts on “Snort 1.81, Acid v0.9.6b13 & DEMARC v1.04-02”
Últimament tenir un servidor web s’ha convertit en una mena de forma d
futilació.Et passes el dia revent atacs del “worm Code Red”
així doncs he decidit instal·lar un script CGI q simula q tinc el
fitxer default.ida (per on es cola el “worm”) però q en realitat el q
fa és informar amb un missatge a l’escriptori d la persona infectada q
hauria d revisar el seu sistema pq pateix aquesta infecció. L’script es
pot trobar a:
http://members.shaw.ca/jobeus/codered.htm
Per si la solució d l’anterior comentari no satisfeia a algún
amant del PHP, en aquest link q trobareu a continuació hi ha un script
per establir contramesures pels atacs de Code Red:
http://screaming-penguin.com/info/codeRedKiller.html
Des de q vaig instal·lar l’avís per la gent q estava infectada
amb el Code Red, les estadístiques d’accessos s’han disparat degut als
múltipes atacs rebuts.
Així doncs, he hagut d’afegir a la llista d fitxers no escoltats per
l’AWStats el default.ida.
No hi havia manera d fer q poguessin conviure el demarc i el acid, ja q les
taules q tenen al MySQL eren una miqueta tocades dels collons. A més amb
la calor q fot, es fa difícil pensar i no acabava d veure-li el
“truquillo”.
Ara per fi ja hi ha els dos serveis funcionant, a veure si passo en mode actiu
aquests dies, pq amb la calor no hi ha qui s’animi a treballar. Quan arribes a
casa només tens ganes d’anar a la platja o a la piscina i no pas d
passar calor davant la pantalla.
Comments are closed.