форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Snort+ACID"
Сообщение от Василий on 09-Июл-03, 11:12  (MSK)
Здравствуйте! Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой вопрос: вот например кто-то ко мне в данный момент ломится, а как сделать так, чтобы не только логи заносились в таблицы, но и оповещение было какое-нибудь (бипер пищал бы или на мыло бы отправлялось сообщение, в общем чтобы сразу заметно было)? Заранее спасибо!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Snort+ACID"
Сообщение от _Serg_ on 16-Июл-03, 11:28  (MSK)
>Здравствуйте! >Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой >вопрос: вот например кто-то ко мне в данный момент ломится, а >как сделать так, чтобы не только логи заносились в таблицы, но >и оповещение было какое-нибудь (бипер пищал бы или на мыло бы >отправлялось сообщение, в общем чтобы сразу заметно было)? >Заранее спасибо! У меня все сделано немного по другому, не прикручен не MySQL ни ACID, там в комплекте был скриптец на перле, помоему Guardian.pl, так вот, он парсил логи, и мог закрывать фаерволл, а также логировал, что он закрыл. Я его переделал под iptables, и он теперь блокирует хост, и высылает сообщение на аську и через самбу (на всякий случай)...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Snort+ACID"
	Сообщение от Василий on 18-Июл-03, 11:04  (MSK)
	>Я его переделал под iptables, и он теперь блокирует хост, и высылает >сообщение на аську и через самбу (на всякий случай)... А чтобы на аську посылал сообщение - это в конфиге snort-а надо указать или где?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Snort+ACID"
	Сообщение от _Serg_ on 18-Июл-03, 16:16  (MSK)
	>А чтобы на аську посылал сообщение - это в конфиге snort-а надо >указать или где? Нет. 1. надо поставить и настроить vicq (в конфиг прописать номер и юин). 2. должным образом подправить Guardian.pl, например так: sub ipchain {   my ($source, $dest, $type) = @_;   &write_log ("$source\t$type\n");   if ($hash{$source} != 1) { #######################################################################     &write_log ("adding '-A input -s $source -i $interface -j DENY' to iptables\n");     system ("/usr/sbin/iptables -A INPUT -s $source -i $interface -j DROP");     system ("echo \"msg Номер_Аськи/Warning!!! \\n $source $type $_ \" | /usr/local/bin/vicq -b -o"); #######################################################################     $hash{$source} = 1;   }   # print "$source already Denied.\n"; } Суть я думаю понятна ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Snort+ACID"
Сообщение от Denis on 17-Сен-03, 22:05  (MSK)
>Здравствуйте! >Стоит snort, к нему прикручены MySQL и ACID. У меня вот такой >вопрос: вот например кто-то ко мне в данный момент ломится, а >как сделать так, чтобы не только логи заносились в таблицы, но >и оповещение было какое-нибудь (бипер пищал бы или на мыло бы >отправлялось сообщение, в общем чтобы сразу заметно было)? >Заранее спасибо! Скажите - а под ipfw что-нибудь существует?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.