URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 735
[ Назад ]

Исходное сообщение
"Snort+ACID"
Отправлено Василий , 09-Июл-03 11:12

Здравствуйте!
Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой вопрос: вот например кто-то ко мне в данный момент ломится, а как сделать так, чтобы не только логи заносились в таблицы, но и оповещение было какое-нибудь (бипер пищал бы или на мыло бы отправлялось сообщение, в общем чтобы сразу заметно было)?
Заранее спасибо!

Содержание

Snort+ACID,_Serg_, 11:28 , 16-Июл-03
- Snort+ACID,Василий, 11:04 , 18-Июл-03
  - Snort+ACID,_Serg_, 16:16 , 18-Июл-03
Snort+ACID,Denis, 22:05 , 17-Сен-03

Сообщения в этом обсуждении

"Snort+ACID"
Отправлено _Serg_ , 16-Июл-03 11:28

>Здравствуйте!
>Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой
>вопрос: вот например кто-то ко мне в данный момент ломится, а
>как сделать так, чтобы не только логи заносились в таблицы, но
>и оповещение было какое-нибудь (бипер пищал бы или на мыло бы
>отправлялось сообщение, в общем чтобы сразу заметно было)?
>Заранее спасибо!
У меня все сделано немного по другому, не прикручен не MySQL ни ACID, там в комплекте был скриптец на перле, помоему Guardian.pl, так вот, он парсил логи, и мог закрывать фаерволл, а также логировал, что он закрыл. Я его переделал под iptables, и он теперь блокирует хост, и высылает сообщение на аську и через самбу (на всякий случай)...

"Snort+ACID"
Отправлено Василий , 18-Июл-03 11:04

>Я его переделал под iptables, и он теперь блокирует хост, и высылает
>сообщение на аську и через самбу (на всякий случай)...
А чтобы на аську посылал сообщение - это в конфиге snort-а надо указать или где?

"Snort+ACID"
Отправлено _Serg_ , 18-Июл-03 16:16

>А чтобы на аську посылал сообщение - это в конфиге snort-а надо
>указать или где?
Нет.
1. надо поставить и настроить vicq (в конфиг прописать номер и юин).
2. должным образом подправить Guardian.pl, например так:
sub ipchain {
  my ($source, $dest, $type) = @_;
  &write_log ("$source\t$type\n");
  if ($hash{$source} != 1) {
#######################################################################
    &write_log ("adding '-A input -s $source -i $interface -j DENY' to iptables\n");
    system ("/usr/sbin/iptables -A INPUT -s $source -i $interface -j DROP");
    system ("echo \"msg Номер_Аськи/Warning!!! \\n $source $type $_ \" | /usr/local/bin/vicq -b -o");
#######################################################################
    $hash{$source} = 1;
  }
  # print "$source already Denied.\n";
}
Суть я думаю понятна ...

"Snort+ACID"
Отправлено Denis , 17-Сен-03 22:05

>Здравствуйте!
>Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой
>вопрос: вот например кто-то ко мне в данный момент ломится, а
>как сделать так, чтобы не только логи заносились в таблицы, но
>и оповещение было какое-нибудь (бипер пищал бы или на мыло бы
>отправлялось сообщение, в общем чтобы сразу заметно было)?
>Заранее спасибо!
Скажите - а под ipfw что-нибудь существует?