Ho scritto questa regola ma quando provo a ricaricare Snort non funziona. Ho commentato la regola e ho cancellato lo snort; funziona così so che è la regola.
alert tcp any any -> any 5466 (msg:"FTP command execution"; flow:to_server,established; content:"/admin_lua_script.html"; content:"os.execute"; content:"Wing FTP Server"; nocase;)
Qualcuno può vedere qualcosa di sbagliato in questa regola?
Sono uno studente che scrive queste regole per un progetto dell'ultimo anno, incerto su come mostrare una traccia dello stack. Ecco l'output dell'errore:
Stopping Network Intrusion Detection System : snort (eth0 ...done).
[....] Starting Network Intrusion Detection System : snort (eth0 using /etc/snort/snort.conf ...ERROR: failed (check /var/log/daemon.log, /var/log/syslog and /v[FAILg/snort/)) failed!
Ecco la coda di syslog:
root@kali:/var/log# tail /var/log/syslog
Feb 18 13:06:51 kali snort[4274]: alert_large_fragments: INACTIVE
Feb 18 13:06:51 kali snort[4274]: alert_incomplete: INACTIVE
Feb 18 13:06:51 kali snort[4274]: alert_multiple_requests: INACTIVE
Feb 18 13:06:51 kali snort[4274]: FTPTelnet Config:
Feb 18 13:06:51 kali snort[4274]: GLOBAL CONFIG
Feb 18 13:06:51 kali snort[4274]: Inspection Type: stateful
Feb 18 13:06:51 kali snort[4274]: Check for Encrypted Traffic: YES alert: NO
Feb 18 13:06:51 kali snort[4274]: Continue to check encrypted data: NO
Feb 18 13:06:51 kali rsyslogd-2177: imuxsock begins to drop messages from pid 4274 due to rate-limiting
Feb 18 13:09:01 kali /USR/SBIN/CRON[4375]: (root) CMD ( [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
Ho sentito che c'era un comando per snort che mostra quale parte della regola snort era nel formato sbagliato, che cos'è?