Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

syslog-ng Filter erzeugt Schleife

Mitglied: Sub-Zero-1

Sub-Zero-1 (Level 1) - Jetzt verbinden

19.03.2008 um 13:03 Uhr, 3548 Aufrufe

Hallo!

Im Zuge meiner Abschlussarbeit, bin ich dabei ein IDS mittels Snort zu installieren. Es läuft alles Prima. Viele Probleme wurden gelöst...bis auf eins.

Snort loggt alle Alarme im unified-Format auf die Platte. Dort werden diese von 2 unterschiedlichen Barnyard Prozessen entgegengenommen und einmal in eine MySQL Datenbank geschrieben und einmal in Syslog Meldungen umgewandelt. Dies funktioniert wunderbar!
Nun will ich Priorität 1 Alarme mittels einem Filter in syslog-ng per mail an den zuständigen Admin schicken. Doch mein Filter erzeugt eines Schleife und bombardiert die mailq, obwohl ich mittels Nessus nur ca. 3-4 Priorität 1 Alarme auslöse, die ich auch alle mittels BASE sehe! D.h. selbst wenn der Nessus Scan vorbei ist, wird die mailq trotzdem durch syslog-ng zubombardiert. Irgendwie entsteht eine Schleife...?

Ich habe nun die syslog-ng.conf etwas gekürzt und trotzdem sehe ich den Fehler nicht.

Sensor1:/usr/local/bin# cat /etc/syslog-ng/syslog-ng.conf

source src {unix-stream("/dev/log"); internal();};
destination email{program("/usr/local/bin/alert_mail.sh");};
filter high {match("\[Priority: 1\]");};
log {source(src);filter(high); destination(email);};

Ich habs auch schon mit folgendem Filter versucht:
#Quelle
source snort_auth {
internal();
unix-stream("/dev/log");
};
#Ziel = alert_mail
destination df_e_mail {program ("/usr/local/bin/alert_mail.sh "); };
  1. Filter für Priorität 1 Alarme
filter f_snort_prioritaet1 { match("[Priority: 1]"); };

  1. Alarmmeldungen verschicken
log {source(snort_auth); filter(f_snort_prioritaet1); destination(df_e_mail);};

Falls es hilft, alert_mail.sh:

Sensor1:/usr/local/bin# cat /usr/local/bin/alert_mail.sh
#!/bin/sh

cat << EOF | mail -s "High Priority Snort Alert" Sub-Zero@xxx.de
Alarm der Prioritaet 1
EOF



Die erste Meldung wird korrekt ausgeführt. Mache ich ein ps -ef so sehe ich das ausgeführte skript. Führe ich ne Sekunden später ps -ef aus, so ist das Skript nicht mehr da und 1 Sekunde später läuft es wieder. top zeigt diesen Prozess als Zombie an. Es entsteht so eine Schleife, die ich nur anhalten kann wenn ich syslog-ng stoppe. Starte ich syslog-ng wieder so tut er nichts, bis er wieder neue Alarme mit Priorität 1 erhält --> neue Schleife, obwohl es nur 4 Meldungen der Priorität 1 sind, die durch Nessus erzeugt werden.

Irgend eine Idee?

Danke und Gruß

Sub-Zero
Ähnliche Inhalte
Ubuntu
Syslog-ng Analyzer - wer kennt einen?
gelöst Frage von samet22Ubuntu4 Kommentare

Hallo Leute, Ich habe eine Zyxel Firewall im Einsatz bei welchem ich jetzt den Traffic auf meinem Linux-Server mitlogge. ...

Windows 7

Batch Datei erzeugt bei jedem Befehl Schleife

gelöst Frage von FrashdWindows 72 Kommentare

Moin, wir haben Windows 7 prof. in einer Domäne. Ich habe eine Batch Datei geschrieben, die die Netzlaufwerke verbindet ...

Notebook & Zubehör

Aircrack-ng

gelöst Frage von 118722Notebook & Zubehör28 Kommentare

Hallo, weil erst vor kurzem irgendjemand in meinem Netzwerk rumgesurft ist, möchte ich jetzt das Tool Aircrack-ng mit Linux ...

Monitoring

Syslog mit welchem Tool

Frage von CoreknabeMonitoring2 Kommentare

Moin Wissende, ich bin auf der Suche nach einem Syslogserver, der die Logdaten von Servern und Netzwerkgeräten einsammelt und ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Firewall
PfSense blockt Webseite nicht
Frage von matze2090Firewall27 Kommentare

Hallo, ich habe bei mir pfSense laufen. Das erste ist was ich machen möchte eine Webseite zu blocken. Könnt ...

Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1023 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken18 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...