problema con mi regla de snort

Navega tus respuestas
0

He escrito esta regla, pero cuando intento recargar Snort está fallando. He comentado la regla y recargado el snort; está funcionando, así que sé que es la regla.

alert tcp any any -> any 5466 (msg:"FTP command execution"; flow:to_server,established; content:"/admin_lua_script.html"; content:"os.execute"; content:"Wing FTP Server"; nocase;)

¿Alguien puede ver algo malo con esta regla?

Soy un estudiante que escribe estas reglas para un proyecto del último año, no estoy seguro de cómo mostrar un seguimiento de pila. Aquí está la salida de error: 

Stopping Network Intrusion Detection System : snort (eth0 ...done).
[....] Starting Network Intrusion Detection System : snort (eth0 using /etc/snort/snort.conf ...ERROR: failed (check /var/log/daemon.log, /var/log/syslog and /v[FAILg/snort/)) failed!

Aquí está la cola de syslog: 

root@kali:/var/log# tail /var/log/syslog
Feb 18 13:06:51 kali snort[4274]:     alert_large_fragments: INACTIVE
Feb 18 13:06:51 kali snort[4274]:     alert_incomplete: INACTIVE
Feb 18 13:06:51 kali snort[4274]:     alert_multiple_requests: INACTIVE
Feb 18 13:06:51 kali snort[4274]: FTPTelnet Config:
Feb 18 13:06:51 kali snort[4274]:     GLOBAL CONFIG
Feb 18 13:06:51 kali snort[4274]:       Inspection Type: stateful
Feb 18 13:06:51 kali snort[4274]:       Check for Encrypted Traffic: YES alert: NO
Feb 18 13:06:51 kali snort[4274]:       Continue to check encrypted data: NO
Feb 18 13:06:51 kali rsyslogd-2177: imuxsock begins to drop messages from pid 4274 due to rate-limiting
Feb 18 13:09:01 kali /USR/SBIN/CRON[4375]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)

Escuché que había un comando para snort que te muestra qué parte de la regla de snort estaba en el formato incorrecto, ¿qué es?

    
pregunta craig 18.02.2015 - 14:16
fuente

0 respuestas

Lea otras preguntas en las etiquetas

Personalice un sistema de detección de intrusiones para la comunicación en serie Proxpy- problema de certificado