][ Date Prev ] Subject : Date: > Thread Prev ][ Prev by Date: -- Index(es): ][

[debian-users:48502] Re: 初心者でもインストールが楽でした。

> > Thread Index X-ml-name: debian-users ][
Thread > [debian-users:48511] Re: 初心者でもインストールが楽でした。
mailto:macindows@xxxxxxxxxxxxxxxx
thread: X-original-to: debian-users@debian.or.jp ][
List-id: debian-users.debian.or.jp
List-owner: < 46336038.4050608@forest.ocn.ne.jp :
List-post: < Date: Sat, 28 Apr 2007 23:54:44 +0900 --
User-agent: Thunderbird 1.5.0.10 (Windows/20070221)
macindows@xxxxxxxxxxxxxxxx http://www.golrleaf.com/security/linux-snort3-06.html From
[debian-users:48503] ERROR: Unterminated rule in file /etc/snort/rules/web-client.rulesについて
List-unsubscribe: <
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
mailto:debian-users-ctl@debian.or.jp?body=unsubscribe
mailto:debian-users-ctl@debian.or.jp?body=help
X-mail-count: 48503 by List-help: < mailto:debian-users-admin@debian.or.jp [
[Namazu Search]
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]

 multiple lines with the end of end of the line,  make sure there are no     carriage returns before the "\" continuation character といったことを確認すればよいのかなかなか分からず、頓挫しております。   確認できたこととして、 ・579行目から始まるalertをコメントアウトしてもエラーは変わらない。 ・一つ前のalertをコメントアウトすると、 　　ERROR: /etc/snort/rules/web-client.rules(580) => Unknown rule type: 240308; というエラーに変わる。  ということで、一つ前のルールがおかしいかなと思うのですが、 どこをどう修正すべきかが分からず、はまっております。  実際のルールは、  alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Windows Scripting Host Shell ActiveX CLSID unicode access"; flow:established,to_client; content:"F|00|9|00|3|00|5|00|D|00|C|00|2|00|2|00|-|00|1|00|C|00|F|00|0|00|-|00|1|00|1|00|D|00|0|00|-|00|A|00|D|00|B|00|9|00|-|00|0|00|0|00|C|00|0|00|4|00|F|00|D|00|5|00|8|00|A|00|0|00|B|00|"; nocase; pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*F\x009\x003\x005\x00D\x00C\x002\x002\x00-\x001\x00C\x00F\x000\x00-\x001\x001\x00D\x000\x00-\x00A\x00D\x00B\x009\x00-\x000\x000\x00C\x000\x004\x00F\x00D\x005\x008\x00A\x000\x00B\x00/si"; reference:bugtraq,1399; reference:bugtraq,1754; reference:bugtraq,598; reference:bugtraq,8456; reference:cve,1999-0668; reference:cve,2000-0597; reference:cve,2000-1061; reference:cve,2003-0532; reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;Q240308; reference:url,www.microsoft.com/technet/security/bulletin/MS00-049.mspx; reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx; reference:url,www.microsoft.com/technet/security/bulletin/MS03-032.mspx; reference:url,www.microsoft.com/technet/security/bulletin/MS99-032.mspx; classtype:attempted-user; sid:8067; rev:1;)  （以下が579行目以降） alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Scriptlet.Typelib ActiveX CLSID unicode access"; flow:established,to_client; content:"0|00|6|00|2|00|9|00|0|00|B|00|D|00|5|00|-|00|4|00|8|00|A|00|A|00|-|00|1|00|1|00|D|00|2|00|-|00|8|00|4|00|3|00|2|00|-|00|0|00|0|00|6|00|0|00|0|00|8|00|C|00|3|00|F|00|B|00|F|00|C|00|"; nocase; pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*0\x006\x002\x009\x000\x00B\x00D\x005\x00-\x004\x008\x00A\x00A\x00-\x001\x001\x00D\x002\x00-\x008\x004\x003\x002\x00-\x000\x000\x006\x000\x000\x008\x00C\x003\x00F\x00B\x00F\x00C\x00/si"; reference:bugtraq,1754; reference:bugtraq,598; reference:cve,1999-0668; reference:cve,2000-1061; reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;KB240308; reference:url,www.microsoft.com/technet/security/Bulletin/MS99-032.mspx; reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx; classtype:attempted-user; sid:8065; rev:1;)  となってまして、正規表現などの書き方に問題があるのか理解できていないのですが、 このような現象に陥った方はいますでしょうか？   ここまでの流れとして、 ・snort-mysqlのパッケージをインストール（バージョンは、2.3.3-11） ・rulesがないため、  X-original-to: debian-users-dist@debian.or.jp  こちらを参考にOinkmasterをインストール。これによってruleを自動でダウンロード  となっています。 また本件とはあまり関係ないように思いますが、データベースなどの設定も終わっています。  情報が足りなく申し訳ないのですが、もし何か分かる方がいらっしゃいましたらご助言いただけると助かりま す。また不足している点などありましたらご指摘の程お願いします。  宜しくお願いします。   環境 Debian etch snort-mysql  2.3.3-11 snort-common 2.3.3-11   増田 --  Masuda. a 増田と申します。お世話になっております。  この度、etchにsnortをインストールしようとしたのですが、snort起動時にエラーをはいてしまい、 なかなか解決できないため、ご助言を頂きたく思います。   具体的には、snort実行時に以下のようなエラーがでます。  # /usr/sbin/snort -u snort -c /etc/snort/snort.conf ERROR: Unterminated rule in file /etc/snort/rules/web-client.rules, line 579    (Snort rules must be contained on this line) Fatal Error, Quitting..   web-client.rulesの579行目あたりを見てみたのですが、どの行の終わりで、 Snort rules must be contained on multiple lines with a single line or on a single line or     on a "\" continuation character     at  mailto:debian-users@debian.or.jp

Masuda < [debian-users:48503] ERROR: Unterminated rule in file /etc/snort/rules/web-client.rulesについて
Thread Next by Date Index [debian-users:48504] Re: 初心者でもインストールが楽でした。
Message-id: < [debian-users:48503] ERROR: Unterminated rule in file /etc/snort/rules/web-client.rulesについて
Previous by thread: [debian-users:48505] [Translate] [SECURITY] [DSA 1283-1] New php5 packages fix several vulnerabilities the body"help" (without quotes) to the X-ml-info: If you have a question, send e-mail with
Next
- Date
- Date Next