Discussion :

[Arzhype]

Bonjour,
Je viens à vous car je rencontre un problème assez ... énervant. Je sais que le topic est un peu hors sujet mais je vais m'expliquer dans la suite.
Environnement: Debian8 + snort + barnyard2 + mysql + pulledpork + sendmail + swatch
Objectif: Envoyer des mails/alertes avec les informations voulues.

Description: J'ai récemment installé une machine SNORT (un détecteur d'intrusion pour ceux qui ne connaissent pas) qui fonctionne bien, lié à Barnyard2 pour traiter les alertes et redirigées vers une interface web. De ce côté-ci tout va bien.
J'ai ensuite voulu me créer une fonctionnalité, à savoir d'envoyer des mails pour les alertes importantes (d'un point de vue subjectif) et pour cela j'utilise swatch (parser de logs) et sendmail.
En premier lieu sendmail fonctionne bien, les mails passent par le relai et tout arrive. Pour swatch, j'ai quelques soucis.
Alors ça fonctionne bien aussi, j'ai réussi à envoyer des mails en fonction de ce que je recherche dans les fichiers de logs (scan de port part exemple). Le contenu du mail ets personnel et c'est là que je cherche votre aide
Le message que j'envoie en gros c'est: Youhou c'est génial on te scanne. Mais on ne voit pas l'adresse source, l'adresse de destination et les ports en question.
Swatch se base sur du Perl pour fonctionner, d'ailleurs voici une des fonctions d'envoi de mails que j'ai implanté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
watchfor /portscan/
        echo bold
        exec="echo "Warning: Scan de ports ! $_" | mail -s "Snort_Warning PORTS SCAN" test.test@test.com"
        throttle 00:00:10

Et voici le mail que je reçois:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Warning: Scan de ports ! [**] [122:19:1] (portscan) UDP Portsweep [**]

Le message que j'ai mis plus la ligne ci-dessus.
Dans le fichier de logs de snort, on voit ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
[**] [122:3:1] (portscan) TCP Portsweep [**]
[Classification: Attempted Information Leak] [Priority: 2]
02/26-12:21:12.035705 192.168.1.1-> 192.168.1.2
PROTO:255 TTL:128 TOS:0x0 ID:11262 IpLen:20 DgmLen:163 DF

Ce que je voudrai c'est la ligne en dessous dans le fichier de log (avec les adresses IP en 192.168.1.X). Donc, si je comprends bien, la ligne d'après le $_. Pour cela je sais qu'on peut envoyer du code arbitrairement dans l'application. Or je ne suis pas très bon en perl (j'en ai vu en cours mais on a décidé de nous donner du graphique à faire ....).

Bref, mon problème en gros c'est que j'ai une ligne dans la variable $_ et que j'aimerai avoir la ligne suivante ...
Voilà, j'en implore maintenant à votre sens aguerri d'entraide et de camaraderie .

[Philou67430]

Je ne connais pas "swatch", mais en étudiant la doc, je dirais que tu peux insérer un code perl spécifique permettant de "mémoriser la détection de portscan" pour la traiter dans un autre "détecteur" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
perlcode 0, our $portscan; sub portscan() { $postscan = [ @_ ] }
 
watchfor /portscan/
        perlcode 2, portscan($_, "Classification");
        echo bold
        throttle 00:00:10
 
watchfor $portscan && /$portscan->[1]/
        exec="(echo "Warning: Scan de ports ! $portscan->[0]"; echo $_) | mail -s "Snort_Warning PORTS SCAN" test.test@test.com"
        perlcode 2, $portscan = undef;
        echo bold
        throttle 00:00:10

Bien sûr, je n'ai pas testé.