SNORT + Guardian

Anything that does not fit elsewhere
Post Reply
marfi
Posts: 13
Joined: April 23rd, 2015, 5:48 pm

SNORT + Guardian

Post by marfi » March 15th, 2016, 7:01 pm

Habe seit zwei Tagen Probleme mit Dateidownloads. Zuerst dachte ich, es läge an dem Windows Client.

Die Downloads wurden begonnen und nach ein paar Prozent sind sie stehen geblieben oder sie sind gar nicht erst gestartet und ipfire meldet, da der Server sich nicht meldet.

Gerade hab ich nach und nach die Systeme ausgeschaltet und wieder gestartet und jedes Mal einen Download gestartet.

Als ich SNORT Green ausgeschaltet habe, funktionierte es plötzlich wieder.

Danach habe ich Guardian ausgeschaltet und SNORT Green wieder ein, da ging es auch.

Guardian wieder ein und der Download ging nicht mehr.

Guardian wieder aus und der Download läuft weiter.

Es liegt also an Guardian, wenn es zusammen mit SNORT Green eingeschaltet wird.

Hat jemand ähnliche Erfahrungen gemacht?

Code: Select all

Tue Mar 15 19:57:55 2016: 80.239.174.35 [1:2018959:2] ET POLICY PE EXE or DLL Windows file download HTTP
Tue Mar 15 19:57:55 2016: Running '/usr/local/bin/guardian_block.sh 80.239.174.35 red0'
Tue Mar 15 19:57:55 2016: 80.239.174.35 [1:2018959:2] ET POLICY PE EXE or DLL Windows file download HTTP
Tue Mar 15 19:57:55 2016: 80.239.174.35 [1:2018959:2] ET POLICY PE EXE or DLL Windows file download HTTP
Tue Mar 15 19:57:55 2016: 80.239.174.35 [1:2018959:2] ET POLICY PE EXE or DLL Windows file download HTTP
Tue Mar 15 19:58:19 2016: received kill sig.. shutting down
Tue Mar 15 19:58:19 2016: removing 68.116.5.134 for shutdown
Tue Mar 15 19:58:19 2016: removing 185.21.216.167 for shutdown
Tue Mar 15 19:58:19 2016: removing 50.206.89.77 for shutdown
Tue Mar 15 19:58:19 2016: removing 80.239.174.35 for shutdown
Hier sieht man, das Guardian den download der exe geblockt hat. Wie kann ich das verhindern?

marfi
Posts: 13
Joined: April 23rd, 2015, 5:48 pm

Re: SNORT + Guardian

Post by marfi » March 15th, 2016, 7:12 pm

Achso, ein wichtiges Detail.

ET POLICY PE EXE or DLL Windows file habe ich nicht angehakt^^

User avatar
FischerM
Community Developer
Community Developer
Posts: 1025
Joined: November 2nd, 2011, 12:28 pm

Re: SNORT + Guardian

Post by FischerM » March 15th, 2016, 7:52 pm

Ahmt,
marfi wrote:ET POLICY PE EXE or DLL Windows file habe ich nicht angehakt
Aber vermutlich:

Code: Select all

ET POLICY PE EXE or DLL Windows file download HTTP
Da gibts *zwei* Regeln dafür. ;)

HTH
Matthias

marfi
Posts: 13
Joined: April 23rd, 2015, 5:48 pm

Re: SNORT + Guardian

Post by marfi » March 16th, 2016, 2:43 pm

Wie zwei ... :o

Na dann muss ich doch noch mal gucken :)

Danke für die schnelle Antwort.

Post Reply