Prelude ids

Voicit le lien du tuto

https://www.google.com/search?q=prelude+ids+debian&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:unofficial&client=iceweasel-a&gws_rd=ssl

la je vient de la suivre tout a l'aire de fonctioner sauf que j'ai plus l'impression qu'il fonctionne comme un sniffer et uniquement en temp que sniffer ...

Tu m'as redonné le lien que je t'avais donné, et non l'adresse d'un site, il va m'être difficile de t'aider !

Sinon, peux-tu répondre à mes questions ? Sinon nous n'avancerons pas..

ah alors une petite erreur lorsque je lance snort avec la commande :

snort

il fonctionne en snifer
mais si je lui donne le fichier de configuration dans /etc/snort/snort.conf
la j'ai le droit a cette erreur

ERROR: parser.c(5261) Could not stat dynamic module path "/usr/local/lib/snort_dynamicpreprocessor/": No such file or directory.

après vérification se dossier n'existe pas
je le crée et la evidement puisque il est vide alors il ne trouve pas les règles (normal)
mais comment je trouve c'est règle ...

excuse le ctrl c et v a foiré
https://www.snort.org/assets/159/Snort_2.9.1_CentOS_5.pdf

ls /etc/snort/
barnyard2.conf         open-test.conf    sid-msg.map                 threshold.conf
classification.config  preproc_rules     snapshot-rules-2910.tar.gz  unicode.map
etc                    reference.config  snort.conf
gen-msg.map            rules             so_rules

Salut,

Je ne connais pas Centos, mais il n'y a pas moyen d'installer snort avec Yum?

et non justement ...
qu'as la compilation des sources ...
c'est bien ce qui m'ennui ..
j'ai changer le fichier de conf afin qu'il me trouve les lib
mais j'ai une nouvelle erreur

ERROR: /etc/snort/snort.conf(323) Unknown preprocessor: "ftp_telnet".

j ai résolu mon problème en recompilant snort avec la ligne

./configure -enable-dynamicplugin && make && make install 

maintenant a voir si il fonctionne correctement ...

il y des rpm mais l'install est bancale et vue qu'on ne control rien c'est pas le top pour trouver les erreurs ...

bien alors un petit soucis au niveau des pages php
le code php est afficher et non compris par le serveur
voila la solution
tout les ouverture de balise php son ouvert ainsi
<?
alors il faut toute les remplacer par
<?php
attention il y en as plusieurs par fichier à changer

mais après cela il fonctionne parfaitement bien plus qu'as apprendre a l'utiliser
!!

Salut,

Ca ce n'est pas compliquer

lami20j@debian-acer:~$ cat plop
<?
alors il faut toute les remplacer par
<?php 
lami20j@debian-acer:~$ perl -pi.orig -e 's/(?<=<\?)(?!php)/php/' plop
lami20j@debian-acer:~$ cat plop
<?php
alors il faut toute les remplacer par
<?php 
lami20j@debian-acer:~$ cat plop.orig
<?
alors il faut toute les remplacer par
<?php 

je modifie mon post pour dire qu'il n'y as pas besoin de changer tous sa en réalité
il faut modifier dans le php.ini et mettre la variable show_opentag_tag = On

Salut,

Un livre intéressant ici (en anglais] https://www.oreilly.com/radar/
Sinon il faut voir la documentation sur le site officiel.

Je prend aussi, merci ;-)

pour alerter au bout de trois identification échoué je n'ai pas trouver de solution je pense passer par un script pour tous puisque les alertes serons afficher sur un nagios pour le moment c'est la seul solution que j'ai trouver
si quelqu'un a autre chose a proposer je suis a l'écoute