snort unknown rule option 'file_data'

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Kiigass
Beiträge: 62
Registriert: 30.11.2012 10:58:05

snort unknown rule option 'file_data'

Beitrag von Kiigass » 07.03.2013 12:04:18

Hi Leute,

ich bin grad dabei mich mit snort zu streiten. Ich hab beschäftige mich das erste mal mit dem Programm und habe deshalb einige blöde Fragen: Nach der Installation von oinkmaster habe ich diesen so konfiguriert, dass er die aktuellen Rules herunter lädt. Das klappt auch alles soweit ganz gut. Allerdings meldet

Code: Alles auswählen

snort -T -c /etc/snort/snort.conf
...
Initializing rule chains...
ERROR: /etc/snort/rules/exploit.rules(61) Unknown rule option: 'file_data'.
Fatal Error, Quitting..
Der vollständige Output ist hier: http://pastebin.com/MPk9kdVZ

Ich habe aus den stable-repos die Version 2.8.5.2 von snort installiert. Die rules sind für 2.9. Ich nehme an, dass der Fehler daher rührt. Die Frage ist jetzt: Warum ist so eine alte Version von snort noch in den repos, bzw warum wird die nicht erneuert? Denn scheinbar wird die gar nicht mehr supported und mit Regeln versorgt.

Aber was viel wichtiger ist: Wie löse ich das Prob?^^ Neue Version von snort oder mit den Rules tricksen?

thx for help

greez Kiigass
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: snort unknown rule option 'file_data'

Beitrag von Cae » 08.03.2013 09:08:38

Kiigass hat geschrieben:Ich habe aus den stable-repos die Version 2.8.5.2 von snort installiert. Die rules sind für 2.9. Ich nehme an, dass der Fehler daher rührt. Die Frage ist jetzt: Warum ist so eine alte Version von snort noch in den repos, bzw warum wird die nicht erneuert?
Die Antwort darauf wird in [1] erklaert.

Normalerweise gibt's da zwei Wege, entweder die passenden rules fuer die installierte Version nehmen, d.h. einfach Debiansnort-rules-default installieren und zuvor die Regeln von snort.org wegschmeissen. Oder eine aktuellere Version der Software installieren (Stichwort: backports). backports gibt's fuer Snort allerdings nicht, daher muesstest du dich mit "apt-pinning" befassen. Grob gesagt erlaubst du dabei, Snort und davon benoetigte Pakete aus testing (Version 2.9.x) zu nehmen, ohne dein komplettes System auf testing hochzuziehen.

Gruss Cae

[1] http://www.debian.org/doc/manuals/debia ... tml#s3.1.3
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
ralfi
Beiträge: 285
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: snort unknown rule option 'file_data'

Beitrag von ralfi » 08.03.2013 09:37:21

Ich hab da auch eine ganze Weile mit gekämpft bis ich dann mal die Nase voll hatte und mir eine eigene Update-Routine geschrieben habe, welche die aktuellen Regeln (als registrierter Snort-User) über Oinkmaster und die Rules von EMERGINGTHREATS in mein SNORT 2.9.2 reinmurkelt. Allerdings ohne so schicke Sachen wie SIDMSG Update usw. wie es mit Pulled_Pork gemacht wird. Wenn Du möchtest kann ich das Skript mal anonymisieren und posten oder per Mail schicken.
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...
Nach oben
Antworten

Zurück zu „weitere Dienste“