[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2001 ml@sikurezza.org Soggetto: swatch + snort Mittente: lupant Data: 2 Oct 2001 16:19:33 -0000
Piccolo contributo...
Non sono riuscito a trovare un tool che mi facesse questo:
-> web log files X Swatch = log-IDS
|
Snort rules
A parte l'ardito ;) formalismo mi serviva uno strumento in grado di parsare
i log prodotti da web server per trovare traffico sospetto.
Ho pensato di usare Swatch con le regole di Snort.
Ecco il file (da dare in pasto ad awk) che produce file conf di Swatch
partendo da web*.rules di Snort
<-->
# awk-snort
# uso: awk -f awk-snort web*rues > sw.conf
BEGIN { FS = ";" }
{ for (i=1;i<=NF;i++)
if ($i ~ /uricont*/ )
{
st = substr($i, 15 , length(substr($i, 15)) - 1)
gsub(/\//, "\\/", st)
gsub(/\?/, "\\?", st)
gsub(/\./, "\\.", st)
gsub(/\|/, "\\|", st)
print "watchfor /" st "/"
print "\techo red"
for (j=i;j<=NF;j++)
{
if ($j ~ /referenc*/ )
{
if ($j ~ /bugtraq/) {prf =
"http://www.securityfocus.com/bid/"; } else
if ($j ~ /arachni/) {prf =
"http://www.whitehats.com/info/IDS"; } else
if ($j ~ /cve/) {prf =
"http://cve.mitre.org/cgi-bin/cvename.cgi?name="; } else
if ($j ~ /MCAFEE/) {prf =
"http://vil.nai.com/vil/dispVirus.asp?virus_k="; }
ref = ref " " prf substr($j, match($j,
",") +1)
print "# " prf substr($j, match($j, ",") +1)
}
}
#print "\texec echo $0 "ref
" >> /var/log/snort/snort_weblog.log"
print "\texec echo $0 >> /var/log/snort/snort_weblog.log"
ref = ""
#print "\tthrottle 01:00"
print ""
}
}
</-->
TODO: vorrei avere un sommario con reference di ciņ che trova Swatch.
Graditi suggerimenti e (soprattutto) miglioramenti.
Lupant
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005