2014年6月23日 星期一

[研究] Microsoft Web Platform Installer 5.0

[研究] Microsoft Web Platform Installer 5.0

2014-06-23

今天重新安裝 Visual Studio 2013 和 Windows Azure SDK for .NET 時候,發現 Microsoft Web Platform Installer 已經到 5.0 版了

Microsoft Web Platform Installer
http://www.microsoft.com/web/downloads/platform.aspx

(下圖)點選「下載Windows Azure SDK for .NET」

(下圖)點選「執行」


(下圖)上圖點選「1.要安裝的項目」,會出現此畫面

(下圖)上圖點選「選項」,會出現此畫面



(下圖)按下「安裝」






 (完)

2014年6月20日 星期五

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式

2014-06-20

********************************************************************************

這幾篇是相關的 ( 3 大步驟)

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

********************************************************************************

請先照這篇完成安裝

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

ADOdb 官方網站
http://adodb.sourceforge.net/
(最後更新為 adodb-519-for-php5,2014-04-30)
檔案 adodb519.tar.gz,不可使用此版本,需用 adodb518a.tgz 才行

BASE 官方網站 (Basic Analysis and Security Engine)
http://base.secureideas.net/
(最後更新為 1.4.5 版,2010-03-05)
檔案 base-1.4.5.tar.gz

開始安裝

請先手動下載把 base-1.4.5.tar.gz 和 adodb518a.tgz 放到 /usr/local/src 目錄

請切換成  root
[root@localhost ~]#   su root

快速安裝程式如下:
#!/bin/bash
echo -e "\033[31m"
echo -e "Program : snort2.9.6.1_barnyard2_base145_centos6.5x64.sh "
echo -e "BASE 1.4.5 Install Shell Script (CentOS 6.5 x64 + Snort 2.9.6.1 + Barnyard 2.13) "
echo -e "by Shau-Rong Lu 2014-06-20 "
echo -e "\033[0m"

cd  /usr/local/src
wget http://nchc.dl.sourceforge.net/project/adodb/adodb-php5-only/adodb-518-for-php5/adodb518a.tgz
wget http://nchc.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base-1.4.5.tar.gz

#BASE need
rpm  -Uvh  http://ftp.uninett.no/linux/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum -y install php-gd php-pear  php-pear-Image-Graph

#install BASE
tar zxvf base-1.4.5.tar.gz -C /var/www/html
mv /var/www/html/base-1.4.5 /var/www/html/base
chmod a+w /var/www/html/base

#install ADODB
tar zxvf adodb518a.tgz -C /var/www/html
chmod a+w /var/www/html/adodb5

# modify  /etc/php.ini

#sed -i -e "s@date.timezone =@;date.timezone =@"   /etc/php.ini
sed -i -e "/date.timezone =/adate.timezone = \"Asia/Taipei\""   /etc/php.ini
cat /etc/php.ini | grep "date.timezone ="

sed -i -e "s@error_reporting = @;error_reporting = @"   /etc/php.ini
sed -i -e "/error_reporting = E_ALL & ~E_DEPRECATED/aerror_reporting = E_ALL & ~E_NOTICE"   /etc/php.ini
cat /etc/php.ini | grep "error_reporting ="

sed -i -e "/UNIX/ainclude_path = \".:/usr/share/pear:/usr/share/php\""   /etc/php.ini
cat /etc/php.ini | grep "include_path = "

service httpd restart


(下圖) 開啟瀏覽器連上  http://192.168.128.101/base 網址 (IP 為 base 安裝哪台,請根據自己環境修改)



(下圖) 如果使用 adodb519.tar.gz 版,會看到







(下圖) 安裝成功了

# 移除剛剛暫時開放的權限

[root@localhost src]# chmod a-w /var/www/html/base
[root@localhost src]# chmod a-w /var/www/html/adodb5

BASE 安裝完成了 !!!

*****************************************************************************

測試

(下圖) 到另一台電腦用 nikto.pl 攻擊一下,等幾秒後,手動按下 F5 更新畫面,發現 Alerts 增加了 (這個數字變化大家測試可能不同)

[root@localhost nikto-2.1.5]# ./nikto.pl -h 192.168.128.101


安裝結束。

(完)


[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

--------------

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式(二)
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64_28.html

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard +BASE 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-base-centos-64-x64.html

--------------

[研究] snort-2.9.4.tar.gz (CentOS 6.3 x86) 快速安裝程式
http://shaurong.blogspot.tw/2012/12/snort-294targz-centos-63-x86.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://shaurong.blogspot.tw/2011/07/snort-2905-fedora-15-x86.html

[研究] N-Stalker Web Application Security Scanner X Free Edition 網站漏洞掃描軟體使用
http://shaurong.blogspot.tw/2013/08/n-stalker-web-application-security.html

[研究] N-Stalker Free Edition 2012 網站漏洞掃描軟體使用教學
http://shaurong.blogspot.tw/2011/07/n-stalker-free-edition-2012.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=20240

[研究] Snort 2.9.0.3 (tar.gz)安裝(Fedora 14 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=19216

[研究] Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(CentOS 5.4)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17658

[研究]Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(Fedora 12 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17672

[教學] [研究] Snort 2.8.1快速安裝程式精簡版(Fedora 8 )
http://forum.icst.org.tw/phpbb/viewtopic.php?t=15042


[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)

2014-06-20

********************************************************************************

這幾篇是相關的 ( 3 大步驟)

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

********************************************************************************

請先照這篇完成安裝

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

ADOdb 官方網站
http://adodb.sourceforge.net/
(最後更新為 adodb-519-for-php5,2014-04-30)
檔案 adodb519.tar.gz,不可使用此版本,需用 adodb518a.tgz 才行

BASE 官方網站 (Basic Analysis and Security Engine)
http://base.secureideas.net/
(最後更新為 1.4.5 版,2010-03-05)
檔案 base-1.4.5.tar.gz

開始安裝

請先手動下載把 base-1.4.5.tar.gz 和 adodb518a.tgz 放到 /usr/local/src 目錄

[root@localhost ~]#   su root

[root@localhost ~]#   cd  /usr/local/src
[root@localhost src]# wget http://nchc.dl.sourceforge.net/project/adodb/adodb-php5-only/adodb-518-for-php5/adodb518a.tgz
[root@localhost src]# wget http://nchc.dl.sourceforge.net/project/secureideas/BASE/base-1.4.5/base-1.4.5.tar.gz

# 安裝 BASE 需要的 php-gd、php-pear、php-pear-Image-Graph

[root@localhost src]# rpm  -Uvh  http://ftp.uninett.no/linux/epel/6/x86_64/epel-release-6-8.noarch.rpm
[root@localhost src]# yum -y install php-gd php-pear  php-pear-Image-Graph

PS:如果找不到 http://ftp.uninett.no/linux/epel/6/x86_64/epel-release-6-8.noarch.rpm
請到 http://ftp.uninett.no/linux/epel/6/x86_64 目錄找看看是否有新版本,例如
epel-release-6-9.noarch.rpm
epel-release-6-10.noarch.rpm
 ....

# 安裝 BASE

[root@localhost src]# tar zxvf base-1.4.5.tar.gz -C /var/www/html
[root@localhost src]# mv /var/www/html/base-1.4.5 /var/www/html/base
[root@localhost src]# chmod a+w /var/www/html/base

# 安裝 ADODB

[root@localhost src]# tar zxvf adodb518a.tgz -C /var/www/html
[root@localhost src]# chmod a+w /var/www/html/adodb5

# 修改 php.ini

[root@localhost src]# vi  /etc/php.ini
找到 ;date.timezone =
底下增加一行
date.timezone = "Asia/Taipei"

搜尋
error_reporting =
找到
error_reporting = E_ALL & ~E_DEPRECATED
改為
error_reporting = E_ALL & ~E_NOTICE

找到
; UNIX: "/path1:/path2"
;include_path = ".:/php/includes"
底下增加一行
include_path => .:/usr/share/pear:/usr/share/php

# 修改 /etc/php.ini,必須重新啟動 httpd 才能生效

[root@localhost src]# service httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
                                                           [  OK  ]
[root@localhost src]#


(下圖) 開啟瀏覽器連上  http://192.168.128.101/base 網址 (IP 為 base 安裝哪台,請根據自己環境修改)


(下圖) 如果使用 adodb519.tar.gz 版,會看到







(下圖) 安裝成功了

# 移除剛剛暫時開放的權限

[root@localhost src]# chmod a-w /var/www/html/base
[root@localhost src]# chmod a-w /var/www/html/adodb5

BASE 安裝完成了 !!!

*****************************************************************************

測試

(下圖) 到另一台電腦用 nikto.pl 攻擊一下,等幾秒後,手動按下 F5 更新畫面,發現 Alerts 增加了 (這個數字變化大家測試可能不同)

[root@localhost nikto-2.1.5]# ./nikto.pl -h 192.168.128.101


安裝結束。

(完)


[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

--------------

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式(二)
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64_28.html

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard +BASE 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-base-centos-64-x64.html

--------------

[研究] snort-2.9.4.tar.gz (CentOS 6.3 x86) 快速安裝程式
http://shaurong.blogspot.tw/2012/12/snort-294targz-centos-63-x86.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://shaurong.blogspot.tw/2011/07/snort-2905-fedora-15-x86.html

[研究] N-Stalker Web Application Security Scanner X Free Edition 網站漏洞掃描軟體使用
http://shaurong.blogspot.tw/2013/08/n-stalker-web-application-security.html

[研究] N-Stalker Free Edition 2012 網站漏洞掃描軟體使用教學
http://shaurong.blogspot.tw/2011/07/n-stalker-free-edition-2012.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=20240

[研究] Snort 2.9.0.3 (tar.gz)安裝(Fedora 14 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=19216

[研究] Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(CentOS 5.4)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17658

[研究]Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(Fedora 12 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17672

[教學] [研究] Snort 2.8.1快速安裝程式精簡版(Fedora 8 )
http://forum.icst.org.tw/phpbb/viewtopic.php?t=15042

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式

2014-06-20

********************************************************************************

這幾篇是相關的 ( 3 大步驟)

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

********************************************************************************

本篇是參考這篇做出來的,如果看不懂快速安裝程式在做甚麼,去看這篇

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

請先依照下面這篇安裝完成 Snort,才能執行本篇的快速安裝程式

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

資料庫名稱小弟用 snortdb,您可以換掉
MySQL root 密碼用 654321,您可以換掉
MySQL 帳號 barnyard2 ,您可以換掉
MySQL 帳號 barnyard2 的密碼 123456,您可以換掉

全部用 root 操作省麻煩
su  root

快速安裝程式如下
#!/bin/bash
echo -e "\033[31m"
echo -e "Program : snort2.9.6.1_barnyard2_centos6.5x64.sh "
echo -e "Barnyard 2.13 Install Shell Script (CentOS 6.5 x64 + Snort 2.9.6.1) "
echo -e "by Shau-Rong Lu 2014-06-20 "
echo -e "\033[0m"

yum  -y  install  mysql mysql-devel git libtool mysql-server  httpd  php  php-mysql php-mbstring php-mcrypt

cd /usr/local/src
git clone https://github.com/firnsy/barnyard2.git barnyard2
cd barnyard2
./autogen.sh

if [ "`uname -a | grep x86_64`" != "" ]; then
  echo "x86_64"
  ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
else
  echo "x86"
  ./configure --with-mysql
  exit
fi

make && make install


cp rpm/barnyard2 /etc/init.d/
chmod +x /etc/init.d/barnyard2
cp rpm/barnyard2.config /etc/sysconfig/barnyard2
chkconfig --add barnyard2

ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf
ln -s /usr/local/bin/barnyard2 /usr/bin/
mkdir -p /var/log/snort/eth0/archive/

ln -s  /usr/local/bin/snort   /usr/sbin/snort

# modify BARNYARD_OPTS=
sed -i -e "s@BARNYARD_OPTS=@#BARNYARD_OPTS=@"   /etc/init.d/barnyard2
sed -i -e "/BARNYARD_OPTS=\"-D -c \$CONF/aBARNYARD_OPTS=\"-D -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid\""   /etc/init.d/barnyard2
cat /etc/init.d/barnyard2 | grep "BARNYARD_OPTS="

chkconfig barnyard2 reset

# modify /etc/sysconfig/barnyard2, match barnyard's and snort's setting
# remark LOG_FILE=
sed -i -e "s@LOG_FILE=@#LOG_FILE=@"   /etc/sysconfig/barnyard2
# append  LOG_FILE="snort.log"
sed -i -e "/LOG_FILE=\"snort_unified.log\"/aLOG_FILE=\"snort.log\""   /etc/sysconfig/barnyard2
# check
cat /etc/sysconfig/barnyard2 | grep "LOG_FILE="

# modify /etc/snort/snort.conf
# remark output unified2
sed -i -e "s@output unified2@#output unified2@"    /etc/snort/snort.conf
# append  output unified2: filename snort.log, limit 128
sed -i -e "/output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types/aoutput unified2: filename snort.log, limit 128"   /etc/snort/snort.conf
# check
cat /etc/snort/snort.conf | grep "output unified2"


# modify /etc/sysconfig/snort
cp /usr/local/src/snort-2.9.6.1/rpm/snort.sysconfig  /etc/sysconfig/snort
# remark two line
sed -i -e "s@ALERTMODE=fast@#ALERTMODE=fast@"    /etc/sysconfig/snort
sed -i -e "s@BINARY_LOG=1@#BINARY_LOG=1@"    /etc/sysconfig/snort
# check
cat /etc/sysconfig/snort | grep "ALERTMODE=fast"
cat /etc/sysconfig/snort | grep "BINARY_LOG=1"

# set MySQL root's password is 654321, you can change
service mysqld restart
/usr/bin/mysqladmin -u root password '654321'
/usr/bin/mysqladmin -u root -h localhost.localdomain password '654321'  -p654321

mysql -e "create database snortdb;" -uroot -p654321
mysql -e "grant all privileges on snortdb.* to barnyard2@localhost identified by '123456';" -uroot -p654321
mysql -e "flush privileges;" -uroot -p654321


#set barnyard2 output to  mysql
#remark
sed -i -e "s@output database@#output database@"   /etc/snort/barnyard.conf
#append
sed -i -e "/output database: log, mysql, user=root password=test dbname=db host=localhost/aoutput database: log, mysql, user=barnyard2 password=123456 dbname=snortdb host=localhost"   /etc/snort/barnyard.conf
# check
cat /etc/snort/barnyard.conf | grep "output database"


# create barnyard2's tables in snortdb
mysql snortdb -ubarnyard2 -p123456   <  /usr/local/src/barnyard2/schemas/create_mysql
#check
mysql -e "use snortdb; show tables;" -uroot -p654321

cp   /usr/local/src/snort-2.9.6.1/etc/gen-msg.map  /etc/snort/.

#Start
barnyard2 -T -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid
if [ "$?" != "0" ]; then
  echo "Barnyard2 or Snort Setting is error !"
  exit
fi

service snortd restart
if [ "$?" != "0" ]; then
  echo "Snort ReStart Failed !"
  exit
fi
service snortd status
ps axu| grep snort

service barnyard2 restart
if [ "$?" != "0" ]; then
  echo "Barnyard2 ReStart Failed !"
  exit
fi
service barnyard2 status
ps aux | grep snort



測試

手動去
http://www.phpmyadmin.net/home_page/downloads.php
網站下載 phpMyAdmin-4.0.10-all-languages.zip 回來安裝,方便稍後檢查是否輸出到 mysql
( phpMyAdmin 4.1.x 和 4.2.x 只支援 MySQL 5.5.0 或更新,不支援 CentOS 6.5 用 yum 安裝的 5.1.x 版,只能下載 4.0.x 版用)

[root@localhost src]# cd  /usr/local/src
[root@localhost src]# unzip  phpMyAdmin-4.0.10-all-languages.zip -d /var/www/html
[root@localhost src]# mv  /var/www/html/phpMyAdmin-4.0.10-all-languages  /var/www/html/phpMyAdmin

檢查目前輸出情況

[root@localhost src]# ls -al /var/log/snort
total 36
drwx------.  5 snort snort 4096 Jun 20 12:47 .
drwxr-xr-x. 14 root  root  4096 Jun 20 12:45 ..
-rw-r--r--.  1 root  root     0 Jun 20 12:44 alert
-rw-------.  1 root  root  2056 Jun 20 12:47 barnyard2.waldo
-rw-r--r--.  1 snort snort   18 Jul 18  2013 .bash_logout
-rw-r--r--.  1 snort snort  176 Jul 18  2013 .bash_profile
-rw-r--r--.  1 snort snort  124 Jul 18  2013 .bashrc
drwxr-xr-x.  3 root  root  4096 Jun 20 12:45 eth0
drwxr-xr-x.  2 snort snort 4096 Nov 12  2010 .gnome2
drwxr-xr-x.  4 snort snort 4096 Jun 19 22:34 .mozilla
-rw-------.  1 root  root     0 Jun 20 12:46 snort.log.1403239606
[root@localhost src]#

(下圖) 用瀏覽器連上
http://192.168.128.101/phpMyAdmin
網址 (IP 是 mysql + phpMyAdmin 主機的 IP ,帳號密碼為可存取 mysql 資料庫的,例如 root 和 654321 (問你自己) 或 barnyard2 和 123456)

點選 snortdb 資料庫,看目前所有 tables 有幾 筆資料


到另一台主機,進行攻擊 (實測若 nikto.pl 和 snort 同一台,測試無攻擊效果)

[root@localhost nikto-2.1.5]# ./nikto.pl -h 192.168.128.101

回 snort 電腦檢查結果

[root@localhost src]# ls -al /var/log/snort
total 40
drwx------.  5 snort snort 4096 Jun 20 12:47 .
drwxr-xr-x. 14 root  root  4096 Jun 20 12:45 ..
-rw-r--r--.  1 root  root     0 Jun 20 12:44 alert
-rw-------.  1 root  root  2056 Jun 20 12:50 barnyard2.waldo
-rw-r--r--.  1 snort snort   18 Jul 18  2013 .bash_logout
-rw-r--r--.  1 snort snort  176 Jul 18  2013 .bash_profile
-rw-r--r--.  1 snort snort  124 Jul 18  2013 .bashrc
drwxr-xr-x.  3 root  root  4096 Jun 20 12:45 eth0
drwxr-xr-x.  2 snort snort 4096 Nov 12  2010 .gnome2
drwxr-xr-x.  4 snort snort 4096 Jun 19 22:34 .mozilla
-rw-------.  1 root  root  3572 Jun 20 12:50 snort.log.1403239606
[root@localhost src]#

應該會有一個 barnyard2.waldo 檔案存在,snort.log.xxxx 可能不只一個,在每次 snort 重新啟動都會新建立一個,只有新建立的這個 size 會變大

(下圖) 所有 tables 的資料筆數應該增加 ( 請等幾秒按 F5 更新畫面,寫入要花點時間)


alert 檔案在只安裝 snort,沒有安裝 barnyard 時候,每攻擊一次會變大一次,但是目前不會變大了,待研究....

(未完待續....還有 BASE 和 ADODB)

(完)

相關文章

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

--------------

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式(二)
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64_28.html

[研究] snort-2.9.5.5.tar.gz (CentOS 6.4 x64) 快速安裝程式
http://shaurong.blogspot.tw/2013/10/snort-2955targz-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-centos-64-x64.html

[研究] Snort 2.9.5.5 + Barnyard +BASE 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-base-centos-64-x64.html

--------------

[研究] snort-2.9.4.tar.gz (CentOS 6.3 x86) 快速安裝程式
http://shaurong.blogspot.tw/2012/12/snort-294targz-centos-63-x86.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://shaurong.blogspot.tw/2011/07/snort-2905-fedora-15-x86.html

[研究] N-Stalker Web Application Security Scanner X Free Edition 網站漏洞掃描軟體使用
http://shaurong.blogspot.tw/2013/08/n-stalker-web-application-security.html

[研究] N-Stalker Free Edition 2012 網站漏洞掃描軟體使用教學
http://shaurong.blogspot.tw/2011/07/n-stalker-free-edition-2012.html

[研究] Snort 2.9.0.5 安裝(Fedora 15 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=20240

[研究] Snort 2.9.0.3 (tar.gz)安裝(Fedora 14 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=19216

[研究] Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(CentOS 5.4)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17658

[研究]Snort 2.8.5.2.tar.gz+MySQL+BASE快速安裝程式(Fedora 12 x86)
http://forum.icst.org.tw/phpbb/viewtopic.php?t=17672

[教學] [研究] Snort 2.8.1快速安裝程式精簡版(Fedora 8 )
http://forum.icst.org.tw/phpbb/viewtopic.php?t=15042

[研究] 比較 Snort 2.9.5.5 和 Snort 2.9.5.6 的 snort.conf

[研究] 比較 Snort 2.9.5.5 和 Snort 2.9.5.6 的 snort.conf 

2014-06-20





(完)

[研究] 比較 Snort 2.9.5.6 和 Snort 2.9.6.1 的 snort.conf

[研究] 比較 Snort 2.9.5.6 和 Snort 2.9.6.1 的 snort.conf 

2014-06-20






(完)

2014年6月19日 星期四

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)

2014-06-20

********************************************************************************

這幾篇是相關的 ( 3 大步驟)

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 2.13 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-213-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-centos-65-x64.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64_20.html

[研究] Snort 2.9.6.1 + Barnyard + BASE 安裝 (CentOS 6.5 x64)
http://shaurong.blogspot.tw/2014/06/snort-2961-barnyard-base-centos-65-x64.html

********************************************************************************


這篇是參考這篇來修改測試進行

[研究] Snort 2.9.5.5 + Barnyard 安裝 (CentOS 6.4 x64)
http://shaurong.blogspot.tw/2013/10/snort-2955-barnyard-centos-64-x64.html

請先依照下面這篇安裝完成 Snort

[研究] snort-2.9.6.1.tar.gz (CentOS 6.5 x64) 快速安裝程式
http://shaurong.blogspot.tw/2014/06/snort-2961targz-centos-65-x64.html

開始安裝(請看黃底黑字)

全部用 root 操作省麻煩
su  root

# 安裝 mysql 讓 barnyard 輸出 snort資訊到 mysql
# 安裝 git 是為了稍後安裝 Barnyard 使用
# 安裝 httpd、php 方便測試
# 安裝 php-mbstring、php-mcrypt 是稍後安裝 phpMyAdmin 方便測試
yum  -y  install  mysql mysql-devel git libtool mysql-server  httpd  php  php-mysql php-mbstring php-mcrypt

#下載 Barnyad
cd /usr/local/src
git clone https://github.com/firnsy/barnyard2.git barnyard2
cd barnyard2
./autogen.sh

#設定 Barnyard
#在 x86 上
./configure --with-mysql

#在 x86_64 上
./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql

#如果要寫 shell script 可以參考下面

if [ "`uname -a | grep x86_64`" != "" ]; then
  echo "x86_64"
  ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
else
  echo "x86"
  ./configure --with-mysql
  exit
fi

#安裝 Barnyard
make && make install

#設定啟動檔案
cp rpm/barnyard2 /etc/init.d/
chmod +x /etc/init.d/barnyard2
cp rpm/barnyard2.config /etc/sysconfig/barnyard2
chkconfig --add barnyard2

ln -s /usr/local/etc/barnyard2.conf /etc/snort/barnyard.conf
ln -s /usr/local/bin/barnyard2 /usr/bin/
mkdir -p /var/log/snort/eth0/archive/

# 因為 /etc/init.d/barnyard2 中 snort 程式為 /usr/sbin/snort,但小弟之前安裝到 /usr/local/bin/snort,所以建個 link 讓它可以執行到
ln -s  /usr/local/bin/snort   /usr/sbin/snort

vi /etc/init.d/barnyard2
#找到OPTSS 這行
...
BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR/${INT} -w $WALDO_FILE -L $SNORTDIR/${INT} -a $ARCHIVEDIR -f $LOG_FILE -X $PIDFILE $EXTRA_ARGS"

這行實際上會變成下面,不符需求

-D -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard.waldo -l /var/log/snort/eth0 -a /var/log/snort/eth0/archive -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid

故改為

BARNYARD_OPTS="-D -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid"

說明一下,大寫 -L 改為小寫 -l,因為根本無此參數,官方檔案寫錯了
原來設定 -d 和 -l 都輸出到 /var/log/snort/eth0, -a 輸出到  /var/log/snort/eth0/archive ,但小弟之前安裝 snort 的文章是輸出到 /var/log/snort

#相關參數說明

[root@localhost ~]# barnyard2

  ______   -*> Barnyard2 <*-
 / ,,_  \  Version 2.1.13 (Build 327)
 |o"  )~|  By Ian Firns (SecurixLive): http://www.securixlive.com/
 + '''' +  (C) Copyright 2008-2013 Ian Firns <firnsy@securixlive.com>

USAGE: barnyard2 [-options] <filter options>
Gernal Options:
        -c <file>  Use configuration file <file>
        -C <file>  Read the classification map from <file>
        -D         Run barnyard2 in background (daemon) mode
        -e         Display the second layer header info
        -F         Turn off fflush() calls after binary log writes
        -g <gname> Run barnyard2 gid as <gname> group (or gid) after initialization
        -G <file>  Read the gen-msg map from <file>
        -h <name>  Define the hostname <name>. For logging purposes only
        -i <if>    Define the interface <if>. For logging purposes only
        -I         Add Interface name to alert output
        -l <ld>    Log to directory <ld>
        -m <umask> Set umask = <umask>
        -O         Obfuscate the logged IP addresses
        -q         Quiet. Don't show banner and status report
        -r <id>    Include 'id' in barnyard2_intf<id>.pid file name
        -R <file>  Read the reference map from <file>
        -S <file>  Read the sid-msg map from <file>
        -t <dir>   Chroots process to <dir> after initialization
        -T         Test and report on the current barnyard2 configuration
        -u <uname> Run barnyard2 uid as <uname> user (or uid) after initialization
        -U         Use UTC for timestamps
        -v         Be verbose
        -V         Show version number
        -y         Include year in timestamp in the alert and log files
        -?         Show this information

Continual Processing Options:
        -a <dir>   Archive processed files to <dir>
        -f <base>  Use <base> as the base filename pattern
        -d <dir>   Spool files from <dir>
        -n         Only process new events
        -w <file>  Enable bookmarking using <file>

Batch Processing Mode Options:
        -o         Enable batch processing mode

Longname options and their corresponding single char version
   --disable-alert-on-each-packet-in-stream  Alert once per event
   --event-cache-size <integer>      Set Spooler MAX event cache size
   --reference <file>                Same as -R
   --classification <file>           Same as -C
   --gen-msg <file>                  Same as -G
   --sid-msg <file>                  Same as -S
   --process-new-records-only        Same as -n
   --pid-path <dir>                  Specify the directory for the barnyard2 PID file
   --help                            Same as -?
   --version                         Same as -V
   --create-pidfile                  Create PID file, even when not in Daemon mode
   --nolock-pidfile                  Do not try to lock barnyard2 PID file


Uh, you need to tell me to do something...

ERROR: Fatal Error, Quitting..
Barnyard2 exiting
===============================================================================
Record Totals:
   Records:           0
   Events:           0 (0.000%)
   Packets:           0 (0.000%)
   Unknown:           0 (0.000%)
   Suppressed:           0 (0.000%)
===============================================================================
Packet breakdown by protocol (includes rebuilt packets):
      ETH: 0          (0.000%)
  ETHdisc: 0          (0.000%)
     VLAN: 0          (0.000%)
     IPV6: 0          (0.000%)
  IP6 EXT: 0          (0.000%)
  IP6opts: 0          (0.000%)
  IP6disc: 0          (0.000%)
      IP4: 0          (0.000%)
  IP4disc: 0          (0.000%)
    TCP 6: 0          (0.000%)
    UDP 6: 0          (0.000%)
    ICMP6: 0          (0.000%)
  ICMP-IP: 0          (0.000%)
      TCP: 0          (0.000%)
      UDP: 0          (0.000%)
     ICMP: 0          (0.000%)
  TCPdisc: 0          (0.000%)
  UDPdisc: 0          (0.000%)
  ICMPdis: 0          (0.000%)
     FRAG: 0          (0.000%)
   FRAG 6: 0          (0.000%)
      ARP: 0          (0.000%)
    EAPOL: 0          (0.000%)
  ETHLOOP: 0          (0.000%)
      IPX: 0          (0.000%)
    OTHER: 0          (0.000%)
  DISCARD: 0          (0.000%)
InvChkSum: 0          (0.000%)
   S5 G 1: 0          (0.000%)
   S5 G 2: 0          (0.000%)
    Total: 0
===============================================================================



# 重設 barnyard2
chkconfig barnyard2 reset

# 修正 barnyard 和 snort 設定檔案,使其匹配 (都使用 snort.log 當輸出)

# 修改 /etc/sysconfig/barnyard2

[root@localhost ~]#  vi /etc/sysconfig/barnyard2
找到 LOG_FILE,修改輸出檔案為 snort.log
...
LOG_FILE="snort.log"
...

# 修改 /etc/snort/snort.conf

[root@localhost ~]#  vi /etc/snort/snort.conf
找到 output unified2 這行
# output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types
底下增加一行
output unified2: filename snort.log, limit 128

# 修改 /etc/sysconfig/snort

[root@localhost ~]#  cp /usr/local/src/snort-2.9.6.1/rpm/snort.sysconfig  /etc/sysconfig/snort
[root@localhost ~]#  vi /etc/sysconfig/snort
找到並修改如下 (註解掉兩項)
...
LOGDIR=/var/log/snort/
...
#ALERTMODE=fast
...
#BINARY_LOG=1
...

****************************************

# 處理 mysql

[root@localhost ~]#  service mysqld restart

# 替 MySQL 的 root 帳號設定密碼 (除了輸入密碼,其他全部按下 Enter 回答)
[root@localhost ~]# /usr/bin/mysql_secure_installation
...
Enter current password for root (enter for none):
Set root password? [Y/n]
New password:  輸入你自己想要設定的密碼(例如 1234)
Re-enter new password:  再輸入一次密碼(例如 1234)
Password updated successfully!
Reloading privilege tables..
 ... Success!

# 建立 snortdb 資料庫,存取帳號 barnyard2,密碼 123456,執行 flush privileges; 立刻生效
(不要把 MySQL root 密碼 1234 和 snortdb 密碼 123456 搞混,你可以換成別的密碼,相對應的地方密碼請換掉)

[root@localhost barnyard2]# mysql -u root -p
Enter password: 輸入你自己設定的密碼(例如 1234)
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 11
Server version: 5.1.73 Source distribution

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> create database snortdb;
Query OK, 1 row affected (0.00 sec)

mysql> grant all privileges on snortdb.* to barnyard2@localhost identified by '123456';
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye
[root@localhost barnyard2]#


#設定 barnyard2 輸出到 mysql

[root@localhost ~]# vi /etc/snort/barnyard.conf
尋找 output database
新建立一行
  output database: log, mysql, user=barnyard2 password=123456 dbname=snortdb host=localhost

在 snortdb 資料庫中建立 barnyard 放 snort 結果資料的 table (密碼 123456)

[root@localhost barnyard2]# mysql snortdb -ubarnyard2 -p   <  /usr/local/src/barnyard2/schemas/create_mysql

Enter password:123456
[root@localhost barnyard2]#


****************************************

重新啟動 snort 和 barnyard2 (建議 snort 先啟動)

重新啟動 snort (因為 snort.conf 修改過)
[root@localhost barnyard2]# service snortd restart
Stopping Snort:                                            [  OK  ]
Starting Snort: PCAP_FRAMES -> 32768 * 4096 / 2 = 67108864 (1600)
Spawning daemon child...
My daemon child 52792 lives...
Daemon parent exiting (0)
                                                           [  OK  ]
[root@localhost barnyard2]#

就算顯示 OK,也建議檢查
[root@localhost barnyard2]# service snortd status
snort (pid 52794) is running...

[root@localhost barnyard2]# ps axu| grep snort
root     52792  0.1 17.5 659112 336120 ?       Ssl  16:39   0:00 /usr/local/bin/snort -D -i eth0 -c /etc/snort/snort.conf
root     52798  0.0  0.0 103252   836 pts/1    S+   16:40   0:00 grep snort
[root@localhost barnyard2]#

如果出現 snort dead but subsys locked,刪除鎖定檔案重新再測試
rm  -fr  /var/lock/subsys/snort

啟動 barnyard2 (會有點慢)
[root@localhost barnyard2]# service barnyard2 restart
Shutting down Snort Output Processor (barnyard2):          [FAILED]
Starting Snort Output Processor (barnyard2):               [FAILED]
[root@localhost barnyard2]#

居然 FAILED,待研究 ...

和以前相比
barnyard2 同樣是 2.1.13 (Build 327) 版,編譯沒問題,執行為何出問題 ???
MySQL 從  5.1.69  變成 5.1.73 版 (理論上出問題機率低)

測試一下設定

[root@localhost barnyard2]# barnyard2 -T -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid
Running in Test mode

        --== Initializing Barnyard2 ==--
Initializing Input Plugins!
Initializing Output Plugins!
Parsing config file "/etc/snort/barnyard.conf"


+[ Signature Suppress list ]+
----------------------------
+[No entry in Signature Suppress List]+
----------------------------
+[ Signature Suppress list ]+

ERROR: Unable to open Generator file "/etc/snort/gen-msg.map": No such file or directory
ERROR: [Barnyard2Init()], failed while processing [/etc/snort/gen-msg.map]
Fatal Error, Quitting..
Barnyard2 exiting

缺檔案,找一下在哪

[root@localhost barnyard2]# find / -name gen-msg.map
/usr/local/src/snort-2.9.6.1/etc/gen-msg.map

拷貝過去

[root@localhost barnyard2]#  cp   /usr/local/src/snort-2.9.6.1/etc/gen-msg.map  /etc/snort/.

再測試一次,正常了

[root@localhost barnyard2]# barnyard2 -T -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid
Running in Test mode

        --== Initializing Barnyard2 ==--
Initializing Input Plugins!
Initializing Output Plugins!
Parsing config file "/etc/snort/barnyard.conf"


+[ Signature Suppress list ]+
----------------------------
+[No entry in Signature Suppress List]+
----------------------------
+[ Signature Suppress list ]+

Barnyard2 spooler: Event cache size set to [2048]
INFO database: Defaulting Reconnect/Transaction Error limit to 10
INFO database: Defaulting Reconnect sleep time to 5 second
[ClassificationPullDataStore()]: No Classification found in database ...
[SignaturePullDataStore()]: No signature found in database ...
[SystemPullDataStore()]: No System found in database ...
[ReferencePullDataStore()]: No Reference found in database ...
[SignatureReferencePullDataStore()]: No Reference found in database ...
database: compiled support for (mysql)
database: configured to use mysql
database: schema version = 107
database:           host = localhost
database:           user = barnyard2
database:  database name = snortdb
database:    sensor name = localhost.localdomain:NULL
database:      sensor id = 1
database:     sensor cid = 1
database:  data encoding = hex
database:   detail level = full
database:     ignore_bpf = no
database: using the "log" facility

        --== Initialization Complete ==--

  ______   -*> Barnyard2 <*-
 / ,,_  \  Version 2.1.13 (Build 327)
 |o"  )~|  By Ian Firns (SecurixLive): http://www.securixlive.com/
 + '''' +  (C) Copyright 2008-2013 Ian Firns <firnsy@securixlive.com>


Barnyard2 successfully loaded configuration file!
Barnyard2 exiting
database: Closing connection to database "snortdb"
[root@localhost barnyard2]#

[root@localhost barnyard2]# service barnyard2 restart

Shutting down Snort Output Processor (barnyard2):         [  OK  ]

Starting Snort Output Processor (barnyard2):               [  OK  ]

[root@localhost barnyard2]#

問題解決了 ~

確認一下

[root@localhost barnyard2]# service barnyard2 status
barnyard2 (pid 28646) is running...

[root@localhost barnyard2]# ps aux | grep snort
root     28559  0.0 17.5 659228 336524 ?       Ssl  11:02   0:00 /usr/local/bin/snort -D -i eth0 -c /etc/snort/snort.conf
root     28646  8.1  4.7 142956 91388 ?        Ss   11:08   0:21 barnyard2 -D -c /etc/snort/barnyard.conf -d /var/log/snort -w /var/log/snort/barnyard2.waldo -l /var/log/snort -a /var/log/snort -f snort.log -X /var/lock/subsys/barnyard2-eth0.pid
root     28671  0.0  0.0 103248   872 pts/1    S+   11:13   0:00 grep snort
[root@localhost barnyard2]#


****************************************

測試

手動去
http://www.phpmyadmin.net/home_page/downloads.php
網站下載 phpMyAdmin-4.0.10-all-languages.zip 回來安裝,方便稍後檢查是否輸出到 mysql

( phpMyAdmin 4.1.x 和 4.2.x 只支援 MySQL 5.5.0 或更新,不支援 CentOS 6.5 用 yum 安裝的 5.1.x 版,只能下載 4.0.x 版用)

[root@localhost src]# cd  /usr/local/src
[root@localhost src]# unzip  phpMyAdmin-4.0.10-all-languages.zip -d /var/www/html
[root@localhost src]# mv  /var/www/html/phpMyAdmin-4.0.10-all-languages  /var/www/html/phpMyAdmin

檢查目前輸出情況

[root@localhost src]# ls -al /var/log/snort
total 40
drwx------.  5 snort snort 4096 Jun 20 11:08 .
drwxr-xr-x. 14 root  root  4096 Jun 20 10:55 ..
-rw-r--r--.  1 root  root     0 Jun 20 10:49 alert
-rw-------.  1 root  root  2056 Jun 20 11:16 barnyard2.waldo
-rw-r--r--.  1 snort snort   18 Jul 18  2013 .bash_logout
-rw-r--r--.  1 snort snort  176 Jul 18  2013 .bash_profile
-rw-r--r--.  1 snort snort  124 Jul 18  2013 .bashrc
drwxr-xr-x.  3 root  root  4096 Jun 20 10:56 eth0
drwxr-xr-x.  2 snort snort 4096 Nov 12  2010 .gnome2
drwxr-xr-x.  4 snort snort 4096 Jun 19 22:34 .mozilla
-rw-------.  1 root  root  3572 Jun 20 11:16 snort.log.1403233325
[root@localhost src]#


(下圖) 用瀏覽器連上
http://192.168.128.101/phpMyAdmin
網址 (IP 是 mysql + phpMyAdmin 主機的 IP ,帳號密碼為可存取 mysql 資料庫的,例如 root 和 1234 (問你自己) 或 barnyard2 和 123456)

點選 snortdb 資料庫,看目前所有 tables 有幾 筆資料

到另一台主機,進行攻擊 (實測若 nikto.pl 和 snort 同一台,測試無攻擊效果)

[root@localhost nikto-2.1.5]# ./nikto.pl -h 192.168.128.102

回 snort 電腦檢查結果

[root@localhost src]# ls -al /var/log/snort
total 44
drwx------.  5 snort snort 4096 Jun 20 11:08 .
drwxr-xr-x. 14 root  root  4096 Jun 20 10:55 ..
-rw-r--r--.  1 root  root     0 Jun 20 10:49 alert
-rw-------.  1 root  root  2056 Jun 20 11:24 barnyard2.waldo
-rw-r--r--.  1 snort snort   18 Jul 18  2013 .bash_logout
-rw-r--r--.  1 snort snort  176 Jul 18  2013 .bash_profile
-rw-r--r--.  1 snort snort  124 Jul 18  2013 .bashrc
drwxr-xr-x.  3 root  root  4096 Jun 20 10:56 eth0
drwxr-xr-x.  2 snort snort 4096 Nov 12  2010 .gnome2
drwxr-xr-x.  4 snort snort 4096 Jun 19 22:34 .mozilla
-rw-------.  1 root  root  7144 Jun 20 11:24 snort.log.1403233325
[root@localhost src]#

應該會有一個 barnyard2.waldo 檔案存在,snort.log.xxxx 可能不只一個,在每次 snort 重新啟動都會新建立一個,只有新建立的這個 size 會變大

(下圖) 所有 tables 的資料筆數應該增加 ( 請等幾秒按 F5 更新畫面,寫入要花點時間)

alert 檔案在只安裝 snort,沒有安裝 barnyard 時候,每攻擊一次會變大一次,但是目前不會變大了,待研究....


(未完待續....還有 BASE 和 ADODB)

[研究] CentOS 6.5 x86_64 安裝記

[研究] CentOS 6.5 x86_64 安裝記

2014-06-19

這篇沒甚麼難度和絕對的對錯,只是個人的習慣 ( 安裝 Desktop 模式、語系加裝 繁體中文 )









































(完)