この記事に触発されたわけではないが、わけあってsnortをインストールしてみた。
Vine2.6にsnort-2.0.2.tar.gzを使用してsourceからコンパイル。
./configure --enable-smbalerts
make
su
make install
mkdir /usr/local/snort
mkdir /var/log/snort
cp -R ./snort-2.0.2/etc /usr/local/snort/
cp -R ./snort-2.0.2/rules /usr/local/snort/
ln -s /usr/local/snort/etc/snort.conf /etc/snort.conf
vi /etc/snrot.conf
var HOME_NET 所属するネットワークアドレス(exp.192.168.1.0/24)
var DNS_SEVERS 使用しているDNSサーバIPアドレス(exp.192.168.1.2/32 192.168.1.3/32)
var RULE_PATH /usr/local/snort/rules
:wq!
/usr/local/bin/snort &
このあと、/var/log/snort配下のlogを見てシグネチャの編集を行う。

groupadd snortuser ;useradd -g snortuser -d /dev/null -s /bin/false snortuser して
起動オプションに追加 -u snortuser -g snrotuser

logを読みなれない為、情報が多くてなかなか圧倒されています。
インストールならだれでも出来る、中身をちゃんとみないとね。
さて、考えていることはsnortでできるのかどうか。試してみよう。

津行、もとい追記:SQLwormいわゆるスラマー用のrulesはある。
nachiはない摸様、なので自作すればいいのだが、どんなコードが やってくるのだ?
というわけでまた潜ってきます。(14:10)

FullDisclosureMLへの投稿記事
icmp.rulesの中にあるCyberKit2.2のrulesにひっかかるそうだ。
でもこれスレッド伸びてないし、ほんとにいいのかな?(14:39)

さらに潜行

swatchでlogを監視して携帯にメールする(予定)
MS03-39の対応はしていると書かれているけど、MS3-026のはないなぁ。
うーん。だれかnachi下さい(ぉぃ
(15:41)