Plus d'update snort?

[Koj]

# cd /home
# chmod u+x
# ./patch_oink2853

Le script modifie la version de snort inscrit dans le fichier /usr/local/bin/snortrules.pl ligne 54

#!/bin/bash

/bin/echo "Patching ... snort 2.8.5.3"

/bin/sed -i -e 's/my $rulesbranch="2.8"/my $rulesbranch="2853"/' /usr/local/bin/snortrules.pl # now contains 4 bit versioning

/bin/echo "File snortrules.pl patched. Have a good day ! "

J'ai bien patché mais j'ai toujours le meme message.
J'ai redémarrer l'ipcop ne sachant pas relancer le service snort, pareil.
J'ai recree un compte chez snort, généré un nouveau Oink, pareil

Sur le site je vois :

In order to use Oinkmaster to update Snort with VRT rules you must edit oinkmaster.conf.

In the oinkmaster.conf modify "url" to:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode here>/<filename>

De plus,

Important Note

As noted above, the CURRENT and 2.8 naming conventions will be deprecated on June 2010 for oinkmaster downloads. You will be responsible for updating your oinkmaster.conf file to reflect your installed version of Snort.

Example for snort 2.8.6.0:

url = http://www.snort.org/pub-bin/oinkmaster ... 860.tar.gz


Example for snort 2.8.5.3:

url = http://www.snort.org/pub-bin/oinkmaster ... 853.tar.gz


Example for snort 2.8 (This will be deprecated on June 2010):

url = http://www.snort.org/pub-bin/oinkmaster ... 2.8.tar.gz

Je suis donc parti à la chasse
find / -name oinkmaster.conf
find / -name oinkmaster.pl
et sur google : update ipcop snort oinkmaster.conf => http://www.opensource-archive.org/archi ... -6201.html

Je pars donc à la pêche aux modifications incertaines (j'aime pas trop ca).
Je vous tiens au courant.

EDIT
j'ai édité /usr/local/bin/snortrules.pl line 55

my $VRTurl="http://www.snort.org/pub-bin/oinkmaster.cgi/$snortsettings{'OINKCODE'}/snortrules-snapshot";

en

my $VRTurl="http://www.snort.org/pub-bin/oinkmaster.cgi/$snortsettings{'OINKCODE'}/snortrules-snapshot-2853.tar.gz";

mais j'ai toujours le meme message

L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x82a3c1c)->code

Arf j'avais pas vu qu'il l'ajoutais après..

my %urls= ('subscripted' => "$VRTurl-${rulesbranch}_s.tar.gz",
'registered' => "$VRTurl-${rulesbranch}.tar.gz");

Bon j'ai pas de solution la...

Koj

[Vehrsey]

Inutile d'ajouter -2853.tar.gz, il est ajouté à la suite du programme.

my $VRTurl="http://www.snort.org/pub-bin/oinkmaster.cgi/$snortsettings{'OINKCODE'}/snortrules-snapshot-2853.tar.gz";

Il suffit uniquement de vérifier qu'à la ligne 54 que my $rulesbranch="2.8" soit remplacé par my $rulesbranch="2853"
En principe cela devrait fonctionner ...

[Koj]

Oui c'est bien "2853" (j'ai passé le patch en perl et ca l'a bien remplacé comme prévu)
C'est pour ça que je suis perplexe...

Koj

[seb64]

Bonjour,

je viens d'intégrer le forum. Je suis utilisateur d'ipcop depuis 5 ans.

J'ai changé mon serveur afin d'en avoir un de secours. C'est une install propre

Par la même occasion, je me suis aperçu que les règles de snort ne se téléchargeaient plus.

J'ai fait les mises à jour et je suis en 1.4.23, j'ai corrigé la ligne 54 de snortrules.pl et je suis bien en version 2.8.5.3 de snort.

J'ai créé un nouveau compte snort pour obtenir un nouveau code oink,

mais je me retrouve dans la même situation que Koj

même message :
L'auxiliaire d'aide a donné un code d'erreur: HTTP::Response=HASH(0x82a3c1c)->code

[erimom]

Bonjour à tous.
Je suis comme beaucoup dans le même cas, les mises à jour des rules snort ne se font plus, j'avais réussi à remettre en route au mois de février grace à ce forum et à un path mis en ligne par Vehrsey pour snort.
Ce même utilisateur dit qqp que ce path a été modifié et peut résoudre le nouveau problème, mais le lien n'est plus valide.
QQ peut-il nous aider ?

[Vehrsey]

Les mises à jour, du site officiel de snort.org, sont désormais redirigées vers un serveur HTTPS.
Problème, Ipcop ne gère pas le protocole HTTPS avec le fichier "snortrules.pl" pour les mises à jour.

Bref, voici les patchs que j'ai fait pour que les mises à jours de snort fonctionnent à nouveau :

Patch Snort 2.8.5.3 - support HTTPS pour Ipcop 1.4.21 (Obsolète : mettre à jour en snort 2.9.0.0, voir ci-dessous)

Patch Snort 2.8.5.3 - support HTTPS pour Ipcop 1.4.23 (Obsolète : mettre à jour en snort 2.9.0.0, voir ci-dessous)


Je rappel la procédure d'installation :

Pour la 1.4.21, installer avant ipcop-1.4.21-snort2853-update.i386.tar.gz pour ceux qui ne l'ont pas encore déjà fait Ici.

Transférer le fichier sur Ipcop :
Activer SSL sur Ipcop à l'aide de votre navigateur, puis transférer le fichier sur Ipcop à l'aide de la commande SCP.

scp -P 222 /home/votre_user/ipcop-1.4.21-snort2853v2-update.i386.tar.gz root@VOTRE_IP_IPCOP:/home

Sur Ipcop 1.4.21 se loger en root, décompresser le fichier puis installer le patch :

# cd /home
# tar zxvf ipcop-1.4.21-snort2853v2-update.i386.tar.gz
# ./setup

(Pour ceux qui sont en 1.4.23 même procédure que ci-dessus en remplaçant 1.4.21 par 1.4.23).

[erimom]

Super !
Je teste et reviens dire merci !

[erimom]

Bon, ben ça été vite fait, encore merci Vehrsey, j'ai 5 ipcop, et j'ai enfin pu mettre les rules à jour.

[philvk75]

merci aux super balese qui arrive a developpé (et decripté ce language )
le patche v2 fonctionne parfaitement

Philippe

[Vehrsey]

La mise à jour des règles snort (snortrules) pour la version 2.8.5.3 se termine le 22 octobre 2010 d'après le site officiel snort.org.
Il faudra repasser par ici pour re-patcher avec une nouvelle version plus récente.

Bonne journée.

[Vehrsey]

Voici la mise à jour Snort 2.9.0.0 pour ipcop 1.4.21 et 1.4.23.

Download patch Snort 2.9.0.0 - (mise à jour 25/10/10)

MD5 : bf3fd7e495a4b0bb1433129f29c46599

Rappel de la procédure :

Transférer le fichier sur Ipcop :
Activer SSL sur Ipcop à l'aide de votre navigateur, puis transférer le fichier sur Ipcop à l'aide de la commande SCP.

scp -P 222 /home/votre_user/ipcop-1.4.21-23-snort2900-update.i386.tar.gz root@VOTRE_IP_IPCOP:/home

Sur Ipcop 1.4.21 ou 1.4.23 se loger en root, décompresser le fichier puis installer le patch :

# cd /home
# tar zxvf ipcop-1.4.21-23-snort2900-update.i386.tar.gz
# ./setup

[erimom]

Merci Vehrsey.
Apparement l'ancien fonctionne encore mais je garde celui-ci sous le coude.
Quelqu'unsait-il quand ipcop 2.00 sera opérationnel ?

[mab]

Bonjour à tous,
A ceux qui ont appliqués ce super patch (merci au passage à ceux qui l'ont fabriqué ), mais attention, il semble y avoir un petit bug :
Dans le script d'install, il y a des nettoyages, qui sont à priori corrects, dans le répertoire /usr/lib, et il y a notamment une ligne du script sur laquelle il faut retenir l'attention :

Code: Tout sélectionner

/bin/rm /usr/lib/libpcap.so /usr/lib/libpcap.so.0 /usr/lib/libpcap.so.0.9.7

Dès l'instant où cette ligne est exécutée, on ne peut plus démarrer l'interface ppp0 (changement d'IP, redémarrage) , donc plus d'accès au web . Et ça fait désordre dès le matin, plus de vpn, plus de support possible, etc.
Vérifier ce problème : (notez que si vous avez ce problème, une ligne sur la console 0 affiche des tas de

/usr/lib/pppd: error while loading shared librairies: libpcap.so: cannot open shared objetc file: No such file or directory

Code: Tout sélectionner

#ls /usr/lib/libpca*
-rwxr-xr-x 1 root root 121232 2005-03-22 19:59 libpcap.so.0.7
lrwxrwxrwx 1 root root     16 2010-10-24 09:30 libpcap.so.1 -> libpcap.so.1.1.1
-rwxr-xr-x 1 root root 219308 2010-10-22 16:40 libpcap.so.1.1.1

Il manque un lien vers la librairie libpcap.so.
Pour corriger, il faut juste faire :

Code: Tout sélectionner

cd /usr/lib/
ln -s libpcap.so.0.7 libpcap.so

Et ipcop reprend son cycle tout seul sans même rebooter, puisque script de démarrage de la carte réseau est en boucle, dès que la bibliothèque est accessible tout rentre dans l'ordre.

[Vehrsey]

Merci Mab, le patch ci-dessus est corrigé.

[philvk75]

vraiment tres bien ce correcteur de bug .

vous etes vraiment tres fort

amicalement
Philippe