Hallo!

Ich bekomme folgende Meldung und möchte sie unterdrücken:

[**] [1:1054:7] WEB-MISC weblogic/tomcat .jsp view source attempt [**]
[Classification: Web Application Attack] [Priority: 1]

In der threshol.conf steht jetzt:
suppress gen_id 1054, sig_id 7

Ist das falsch? Die Meldung bekomme ich leider immer noch.

Snort neu gestartet?

Besser wäre es auch, einfach die Regel in dem rules.d ordner zu finden und auszukommentieren. Damit hast du einfacher Ruhe :)

Snort neu gestartet?

Besser wäre es auch, einfach die Regel in dem rules.d ordner zu finden und auszukommentieren. Damit hast du einfacher Ruhe :)

zu 1) ja klar
zu 2) sicher?

zu 2) sicher?
Ziemlich :)
Wenn du den Suppress-Mechanismus verwendest, wird die Regel immernoch angewendet - der Alarm nachher wird halt weggeworfen. Das ist eigentlich unnötig; besser wäre es, den Alarm gar nicht erst zu erzeugen (ausserdem ist eine auskommentierte Regel leichter zu lesen als kryptische Nummernfolgen in der threshold.conf :))

Weiteres zum Regel-Ausschalten:
http://oinkmaster.sourceforge.net/avoiding_snort_alerts.txt

OK, probiere ich mal aus.

was macht man mit so einem?
[1:1852:3] WEB-MISC robots.txt access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]

was macht man mit so einem?
[1:1852:3] WEB-MISC robots.txt access [**]
ich würde mal nach dem Alert in rules.d greppen ("grep "robots.txt access" /etc/snort/rules.d/*") und einfach die Regel auskommentieren ("#" davormachen).
Nach einem Snort-Neustart sollte der Alarm weg sein.