hallo,

ich suche ein plugin für snort, das mir bestimmte aktionen ausführt, z.b. ein shellscript starten o.ä.
bisher war ich immer der meinung, dass es so etwas gibt, leider kann ich in der doku auf snort.org nichts dergleichen finden.
gibt es ein solches plugin, was vielleicht nur nicht dokumentiert ist ???
ich würde nur ungern was eigenes basteln wollen bzw. das rad neu erfinden.

mfg,
matze

hier ist ein skript um iptables zu aendern:

http://www.snort.org/dl/contrib/other_tools/guardian/

du solltest das dann leicht umaendern koennen. funzt aber nicht mit datenbnaken, bzw. du musst erst ein modul dazu machen, was aber unter perl nicht schwer ist

joey

hi,

danke für den link, allerdings hatte ich den schon ergooglet :D

guardian ist nicht so 100%, was ich suche - dachte es gibt noch was anderes....

ich schreib mir selber ein script...

mfg,
matze

probier es mit snortsam


son2ne

Ds hört sich interessant an - wäre nett wenn Du hier über den weiteren Verlauf informierst oder schreibst wenn Du doch noch was findest.

Vielleicht wäre auch eine Anfrage an die Mailinglist des Projekts zu empfehlen - ich kann mir gut vorstellen das die Entwickler mehr wissen...

mfg
cane

Hmm - vielleicht gehts mit Swatch, schau mal hier unter "Alarmierung": http://www.it-academy.cc/content/article_browse.php?ID=986


Wir haben in der Überwachung unserer Honeynets mit Swatch http://swatch.sourceforge.net/ (Simple Watcher) große Erfolge gehabt. Swatch ist en komplett ausgestattetes automatisches Überwachungswerkzeug, das in der Lage ist Admins über potentiell erfolgreiche Einbruchsversuche zu informieren. Swatch überwacht Protokolldateien auf bekannte Muster, die in einer Konfigurationsdatei beschrieben werden. Findet es ein solches Muster, kann es selbstständig Alarme per email, Telefon oder systemeigene Mechanismen auslösen und darüber hinaus andere Programme/Befehle ausführen. Eine einfache Swatch Regel enthält das zu überwachende Muster, gefolgt von einer Liste von zu startenden Aktionen.

mfg
cane