Babi tukang update Snort

Saya sudah pernah menulis tentang bagaimana membangun Snort sebagai Intrusion Detection System, pada waktu yang mepet-mepet begini, karena udah suntuk dan tidak punya kegiatan lain (ngerjain skripsi lagi mentok, huehehehe) akhirnya saya bongkar-bongkar (baca: oprek-oprek) lagi IDS di server. Sekalian ngeliat log alertnya.
Sekarang tanggal 25 September 2007, VRT signature rules dari Snort terbit hari ini pukul 7:38 AM (GMT +0700) belom saya download dan install di server. Untuk itu, saya punya alasan bahwa kegiatan ini menjadi lebih berarti karena memang dalihnya adalah melakukan update signature rules dari IDS, heuheehe (pinter aja berkilah, kaya kancil, weks :p).
Daripada capek-capek nungguin VRT signature rules dari Snort, download, install, kenapa ga dibikin otomatis aja ya?! Hehehe, bener…khan ada Oinkmaster, duh bener-bener ga kepikiran. Akhirnya saya larikan browser ke situs oinkmaster di http://oinkmaster.sf.net trus download versi terakhir yaitu Oinkmaster-2.0 (2006-02-18).
Setelah di download, saya lakukan hal-hal sebagai berikut:

[email protected]:/usr/src# tar xzf oinkmaster-2.0.tar.gz
[email protected]:/usr/src# cd oinkmaster-2.0
[email protected]:/usr/src/oinkmaster-2.0# ls -al
total 272
drwxr–r– 3 root root 4096 2006-02-18 19:35 .
drwxr-xr-x 19 root root 4096 2007-09-26 17:22 ..
-rw-r–r– 1 root root 21825 2006-02-18 19:35 ChangeLog
-rw-r–r– 1 root root 43339 2006-02-18 19:35 FAQ
-rw-r–r– 1 root root 2503 2006-02-18 19:35 INSTALL
-rw-r–r– 1 root root 1584 2006-02-18 19:35 LICENSE
-rw-r–r– 1 root root 16837 2006-02-18 19:35 README
-rw-r–r– 1 root root 3489 2006-02-18 19:35 README.gui
-rw-r–r– 1 root root 4827 2006-02-18 19:35 README.templates
-rw-r–r– 1 root root 4823 2006-02-18 19:35 README.win32
-rw-r–r– 1 root root 2105 2006-02-18 19:35 UPGRADING
drwxr–r– 2 root root 4096 2006-02-18 19:35 contrib
-rw-r–r– 1 root root 10655 2006-02-18 19:35 oinkmaster.1
-rw-r–r– 1 root root 20543 2006-02-18 19:35 oinkmaster.conf
-rwxr–r– 1 root root 93116 2006-02-18 19:35 oinkmaster.pl
-rw-r–r– 1 root root 5747 2006-02-18 19:35 template-examples.conf
[email protected]:/usr/src/oinkmaster-2.0#

Yang perlu dilakukan berikutnya adalah mengkopi file oinkmaster.conf ke direktori /etc atau di direktori milik snort di /etc/snort. Saya mengkopinya ke direktori /etc/snort/.
Selanjutnya kopi file oinkmaster.1 ke /usr/man/man1/. Kopi juga file oinkmaster.pl di /usr/local/bin atau di direktori ekseskusi yang bisa dilihat dengan cara mengetikkan:

[email protected]:/usr/src# export $PATH
bash: export: `/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/bin:/usr/bin:/root/bin:/usr/local/bin:/usr/local/sbin:/usr/sbin:/usr/bin’: not a valid identifier
[email protected]:/usr/src#

Edit file oinkmaster.conf di /etc/snort/ dan masukan Oink Code yang sudah kita dapatkan dari situs www.snort.org (untuk mendapatkan Oink Code, harus melakukan registrasi di situs Snort)
Lakukan juga autodisable rules untuk rules yang saat ini kita jalankan dengan menggunakan script makesidex.pl pada direktori contrib di dalam direktori oinkmaster-2.0 yang sudah diekstrak tadi.

[email protected]:/usr/src/# cd oinkmaster-2.0/contrib
[email protected]:/usr/src/oinkmaster-2.0/contrib# perl makesidex.pl /etc/snort/rules > /etc/autodisable.conf

Kalo sudah, silakan jalankan :

[email protected]:/usr/src# /usr/local/bin/oinkmaster.pl -C /etc/snort/oinkmaster.conf -C /etc/autodisable.conf -o /etc/snort/rules
Loading /etc/snort/oinkmaster.conf
Loading /etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-CURRENT.tar.gz…

Biarkan prosesnya terus berjalan, setelah selesai maka saya sudah mempunyai VRT signature terbaru dari Snort. 🙂

Default image
modpr0be

Posisi saya saat ini sebagai direktur dan pemilik PT Spentera, sebuah perusahaan yang fokus dalam bidang penetration test, incident response, intrusion analysis and forensic investigation.

Saya juga berkontribusi untuk repositori eksploit Metasploit Framework sebagai pengembang kode eksploit. Saat ini memegang sertifikasi dari Offensive Security Certified Professional (OSCP), Offensive Security Certified Expert (OSCE), ISO/IEC ISMS 27001: 2013 Lead Auditor/Auditor, GIAC Certified Intrusion Analyst (GCIA), dan Offensive Security Exploitation Expert (OSEE).

Jika ingin menghubungi saya dapat melalui email bisnis di tom at spentera dot id atau pribadi di me at modpr0 dot be

Articles: 64

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.