[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48503] ERROR: Unterminated rule in file /etc/snort/rules/web-client.rulesについて



増田と申します。お世話になっております。

この度、etchにsnortをインストールしようとしたのですが、snort起動時にエラーをはいてしまい、
なかなか解決できないため、ご助言を頂きたく思います。


具体的には、snort実行時に以下のようなエラーがでます。

# /usr/sbin/snort -u snort -c /etc/snort/snort.conf
ERROR: Unterminated rule in file /etc/snort/rules/web-client.rules, line 579
   (Snort rules must be contained on a single line or
    on multiple lines with a '\' continuation character
    at the end of the line,  make sure there are no
    carriage returns before the end of this line)
Fatal Error, Quitting..


web-client.rulesの579行目あたりを見てみたのですが、どの行の終わりで、
Snort rules must be contained on a single line or on multiple lines with a '\' continuation character
といったことを確認すればよいのかなかなか分からず、頓挫しております。


確認できたこととして、
・579行目から始まるalertをコメントアウトしてもエラーは変わらない。
・一つ前のalertをコメントアウトすると、
  ERROR: /etc/snort/rules/web-client.rules(580) => Unknown rule type: 240308;
というエラーに変わる。

ということで、一つ前のルールがおかしいかなと思うのですが、
どこをどう修正すべきかが分からず、はまっております。

実際のルールは、

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Windows Scripting Host Shell
ActiveX CLSID unicode access"; flow:established,to_client;
content:"F|00|9|00|3|00|5|00|D|00|C|00|2|00|2|00|-|00|1|00|C|00|F|00|0|00|-|00|1|00|1|00|D|00|0|00|-|00|A|00|D|00|B|00|9|00|-|00|0|00|0|00|C|00|0|00|4|00|F|00|D|00|5|00|8|00|A|00|0|00|B|00|";
nocase;
pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*F\x009\x003\x005\x00D\x00C\x002\x002\x00-\x001\x00C\x00F\x000\x00-\x001\x001\x00D\x000\x00-\x00A\x00D\x00B\x009\x00-\x000\x000\x00C\x000\x004\x00F\x00D\x005\x008\x00A\x000\x00B\x00/si";
reference:bugtraq,1399; reference:bugtraq,1754; reference:bugtraq,598; reference:bugtraq,8456;
reference:cve,1999-0668; reference:cve,2000-0597; reference:cve,2000-1061; reference:cve,2003-0532;
reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;Q240308;
reference:url,www.microsoft.com/technet/security/bulletin/MS00-049.mspx;
reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx;
reference:url,www.microsoft.com/technet/security/bulletin/MS03-032.mspx;
reference:url,www.microsoft.com/technet/security/bulletin/MS99-032.mspx; classtype:attempted-user;
sid:8067; rev:1;)

(以下が579行目以降)
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Scriptlet.Typelib ActiveX
CLSID unicode access"; flow:established,to_client;
content:"0|00|6|00|2|00|9|00|0|00|B|00|D|00|5|00|-|00|4|00|8|00|A|00|A|00|-|00|1|00|1|00|D|00|2|00|-|00|8|00|4|00|3|00|2|00|-|00|0|00|0|00|6|00|0|00|0|00|8|00|C|00|3|00|F|00|B|00|F|00|C|00|";
nocase;
pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*0\x006\x002\x009\x000\x00B\x00D\x005\x00-\x004\x008\x00A\x00A\x00-\x001\x001\x00D\x002\x00-\x008\x004\x003\x002\x00-\x000\x000\x006\x000\x000\x008\x00C\x003\x00F\x00B\x00F\x00C\x00/si";
reference:bugtraq,1754; reference:bugtraq,598; reference:cve,1999-0668; reference:cve,2000-1061;
reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;KB240308;
reference:url,www.microsoft.com/technet/security/Bulletin/MS99-032.mspx;
reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx; classtype:attempted-user;
sid:8065; rev:1;)

となってまして、正規表現などの書き方に問題があるのか理解できていないのですが、
このような現象に陥った方はいますでしょうか?


ここまでの流れとして、
・snort-mysqlのパッケージをインストール(バージョンは、2.3.3-11)
・rulesがないため、http://safe-linux.homeip.net/security/linux-snort3-06.html
こちらを参考にOinkmasterをインストール。これによってruleを自動でダウンロード

となっています。
また本件とはあまり関係ないように思いますが、データベースなどの設定も終わっています。

情報が足りなく申し訳ないのですが、もし何か分かる方がいらっしゃいましたらご助言いただけると助かりま
す。また不足している点などありましたらご指摘の程お願いします。

宜しくお願いします。


環境
Debian etch
snort-mysql  2.3.3-11
snort-common 2.3.3-11


増田
-- 
Masuda.
mailto:macindows@xxxxxxxxxxxxxxxx