[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48526] 【解決】Re: ERROR: Unterminated rule in file /etc/snort/rules/web-client.rulesについて



増田です。自己解決しました。

http://lists.bleedingsnort.com/pipermail/bleeding-sigs/2006-October/001812.html
こういったところを読んでいたところ、どうもバージョンなのではないかと思い、
調べてみたところ、ルールは2.4を使っているにも関わらず、snort本体は2.3のままでした。

なので、とりあえずルールを2.3のものを使用し、oinkmasterによる更新も2.3のルールを
更新させることで無事解決できました。

単純なことに気づかずご迷惑おかけしました。


増田

Masuda wrote:

> 具体的には、snort実行時に以下のようなエラーがでます。
> 
> # /usr/sbin/snort -u snort -c /etc/snort/snort.conf
> ERROR: Unterminated rule in file /etc/snort/rules/web-client.rules, line 579
>    (Snort rules must be contained on a single line or
>     on multiple lines with a '\' continuation character
>     at the end of the line,  make sure there are no
>     carriage returns before the end of this line)
> Fatal Error, Quitting..
> 
> 
> web-client.rulesの579行目あたりを見てみたのですが、どの行の終わりで、
> Snort rules must be contained on a single line or on multiple lines with a '\' continuation character
> といったことを確認すればよいのかなかなか分からず、頓挫しております。
> 
> 
> 確認できたこととして、
> ・579行目から始まるalertをコメントアウトしてもエラーは変わらない。
> ・一つ前のalertをコメントアウトすると、
>   ERROR: /etc/snort/rules/web-client.rules(580) => Unknown rule type: 240308;
> というエラーに変わる。
> 
> ということで、一つ前のルールがおかしいかなと思うのですが、
> どこをどう修正すべきかが分からず、はまっております。
> 
> 実際のルールは、
> 
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Windows Scripting Host Shell
> ActiveX CLSID unicode access"; flow:established,to_client;
> content:"F|00|9|00|3|00|5|00|D|00|C|00|2|00|2|00|-|00|1|00|C|00|F|00|0|00|-|00|1|00|1|00|D|00|0|00|-|00|A|00|D|00|B|00|9|00|-|00|0|00|0|00|C|00|0|00|4|00|F|00|D|00|5|00|8|00|A|00|0|00|B|00|";
> nocase;
> pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*F\x009\x003\x005\x00D\x00C\x002\x002\x00-\x001\x00C\x00F\x000\x00-\x001\x001\x00D\x000\x00-\x00A\x00D\x00B\x009\x00-\x000\x000\x00C\x000\x004\x00F\x00D\x005\x008\x00A\x000\x00B\x00/si";
> reference:bugtraq,1399; reference:bugtraq,1754; reference:bugtraq,598; reference:bugtraq,8456;
> reference:cve,1999-0668; reference:cve,2000-0597; reference:cve,2000-1061; reference:cve,2003-0532;
> reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;Q240308;
> reference:url,www.microsoft.com/technet/security/bulletin/MS00-049.mspx;
> reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx;
> reference:url,www.microsoft.com/technet/security/bulletin/MS03-032.mspx;
> reference:url,www.microsoft.com/technet/security/bulletin/MS99-032.mspx; classtype:attempted-user;
> sid:8067; rev:1;)
> 
> (以下が579行目以降)
> alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT Scriptlet.Typelib ActiveX
> CLSID unicode access"; flow:established,to_client;
> content:"0|00|6|00|2|00|9|00|0|00|B|00|D|00|5|00|-|00|4|00|8|00|A|00|A|00|-|00|1|00|1|00|D|00|2|00|-|00|8|00|4|00|3|00|2|00|-|00|0|00|0|00|6|00|0|00|0|00|8|00|C|00|3|00|F|00|B|00|F|00|C|00|";
> nocase;
> pcre:"/<\x00O\x00B\x00J\x00E\x00C\x00T\x00(\s\x00)+([^>]\x00)*c\x00l\x00a\x00s\x00s\x00i\x00d\x00(\s\x00)*=\x00(\s\x00)*([\x22\x27]\x00)?(\s\x00)*c\x00l\x00s\x00i\x00d\x00(\s\x00)*\x3a\x00(\s\x00)*(\x7B\x00)?(\s\x00)*0\x006\x002\x009\x000\x00B\x00D\x005\x00-\x004\x008\x00A\x00A\x00-\x001\x001\x00D\x002\x00-\x008\x004\x003\x002\x00-\x000\x000\x006\x000\x000\x008\x00C\x003\x00F\x00B\x00F\x00C\x00/si";
> reference:bugtraq,1754; reference:bugtraq,598; reference:cve,1999-0668; reference:cve,2000-1061;
> reference:url,support.microsoft.com/default.aspx?scid=kb\;en-us\;KB240308;
> reference:url,www.microsoft.com/technet/security/Bulletin/MS99-032.mspx;
> reference:url,www.microsoft.com/technet/security/bulletin/MS00-075.mspx; classtype:attempted-user;
> sid:8065; rev:1;)
> 

-- 
Masuda.
mailto:macindows@xxxxxxxxxxxxxxxx