Snort läuft ja jetzt bereits auf unserem Server, allerdings ist das händische Auslesen der Logfiles manchmal sehr mühselig. Es gibt ganz hervorragende Tools mit denen man entsprechende Auswertungen machen kann. Da ich aber direkt informiert werden möchte, wenn ein Angriff festgestellt bzw. vermutet wird, habe ich ein kleines Tool gefunden, das genau dies übernimmt: Pig Sentry.
Sicher, man könnte nun argumentieren, dass man einfach jeden Log-Eintrag per Mail verschickt, aber dann hat man bald sein Postfach voll. Pig Sentry führt eine eigene Datenbank und meldet nur dann, wenn sich bestimmte Parameter signifikant verändern, also bspw. die Anzahl der Requests explosionsartig ansteigt.

  1. Zunächst wollen wir Pig Sentry mal installieren. Das geht ganz einfach, hierfür laden wir das Skript erst einmal herunter:

    # fetchhttp://solv.com/tools/pigsentry/pigsentry-1.2
  2. Ich werde "pigsentry-1.2" umbenennen in "pigsentry". Die Version ist im Skript selber gespeichert und muss nicht im Skriptnamen erscheinen.
    Wir kopieren das Skript in ein Verzeichnis unserer Wahl, z.B. "/usr/local/bin", allerdings würde ich dir raten, die Schreibrechte auf "400" zu setzen. Das bedeutet, dass nur der Besitzer (root) das Skript lesen darf und gegen Manipulationen geschützt ist.

    Hinweis: Dieses Tool verleitet dazu, dass man sich nur auf Meldungen verlässt, die von ihm verschickt werden. Würde das Skript nun unbemerkt manipuliert, so würden von Snort erkannte Angriffe nie entdeckt und das kommt mit einer Deaktivierung von Snort gleich. Daher gut aufpassen, wo du das Skript liegt und wer Zugriff drauf hat.
  3. Jetzt sorgen wir noch dafür, dass das Skript beim Systemstart automatisch im Daemon-Mode startet. Hierfür fügen wir folgende Zeile in die Datei '/etc/rc.local' ein (eine Zeile, '\' weist auf ungewollten Umbruch hin):

    perl /usr/local/bin/pigsentry -d -l /var/log/snort/alert \

    --mailbin=/usr/bin/mail -m <MAIL-ADRESSE>

    Hinweis: Den Pfad zu dem Skript musst du natürlich anpassen, bei mir lautet er "/usr/local/bin". Ebenso die Mail-Adresse musst du angeben, wenn du willst, dass du direkt informiert wirst. "/usr/bin/mail" gibt den Pfad zum Mailprogramm an. Weitere Infos findest du auf der Website von Pig Sentry.
  4. Um Pig Sentry nun zu starten führst du den obigen Befehl einfach in der Konsole als root aus:

    # perl /usr/local/bin/pigsentry -d -l /var/log/snort/alert \

    --mailbin=/usr/bin/mail -m <MAIL-ADRESSE>
  5. Wenn nun Fehler gemeldet werden, erhälst du eine E-Mail mit der Meldung in der Betreffzeile. Für Details (IP-Adresse etc.) musst du allerdings noch in das SnortLog-File schauen.