Detekcja wlamywaczy etc.

Bartek Jakubski migo w supernet.com.pl
Wto, 1 Lip 2003, 01:07:05 CEST 

On Tue, Jul 01, 2003 at 12:33:48AM +0200, Grzegorz Saracki wrote:
> Dnia 2003.07.01 00:08:04 +0000, Tomasz Buziak napisał(a):
>> Cytowanie Marteen <marteen w go2.pl>:
>> 
>>> Czy sa jakies narzedzia i jakie do wykrywania wlaman i etc??
>>> 
>> 
>> w ra jest snort 2.0 (ids) bardzo mily, no i chkrootkit
>> 
>> wiecej grzechow nie pamietam ...
>> 
> jest jeszcze prelude
> http://www.prelude-ids.org/
> w pld chyba tylko w postaci speca
> polecam wykład o IDS który jest na stronach SLUG'u
> 

Przy okazji: po wykładzie Piotrek Kupisiewicz napisał, a ja troszkę
poprawiłem to, co w załączniku. To niekoniecznie jest działające,
jeszcze sporo chyba podłubać trzeba. Jak się komuś chce, to proszę :-)

-- 
-- .- Bartek Jakubski --------------------- Sosnowiec -. --
-- |  Free Software is a matter of liberty, not price  | --
-- `---------------(http://www.fsf.org/philosophy)-----' --
-------------- następna część ---------
# $Revision:$, $Date:$
Summary:	Prelude Hybrid Intrusion Detection System - Log Analyzer Sensor
Summary(pl):	Analizer logów Prelude Hybrid IDS
Name:		prelude-lml
Version:	0.8.3
Release:	1
License:	GPL
Group:		Applications/System
URL:		http://www.prelude-ids.org/
Source0:	http://www.prelude-ids.org/download/releases/%{name}-%{version}.tar.gz
Buildroot:	%{tmpdir}/%{name}-%{version}-root-%(id -u -n)
BuildRequires:	libprelude-devel
BuildRequires:	pcre-devel

%description
The Prelude Log Monitoring Lackey (LML) is the host-based sensor
program part of the Prelude Hybrid IDS suite. It can act as a
centralized log collector for local or remote systems, or as a simple
log analyzer (such as swatch). It can run as a network server
listening on a syslog port or analyze log files. It supports logfiles
in the BSD syslog format and is able to analyze any logfile by using
the PCRE library. It can apply logfile-specific analysis through
plugins such as PAX. It can send an alert to the Prelude Manager when
a suspicious log entry is detected.

%description -l pl
Prelude Log Monitoring Lackey (LML) jest sensorem dla Prelude Hybrid
IDS. Pozwala kolekcjonować logi na zdalnym i lokalnym komputerze, albo
po prostu analizować logi (tak jak swatch). Może nasłuchiwać na porcie
sieciowym, tak jak np syslog lub analizować po prostu pliku. Obsługuje
formaty logów także BSD i pozwala analizować logi z użyciem biblioteki
PCRE. Może analizować także logi przez pluginy takie jak PAX. Może
wysyłać alerty do Prelude Manager kiedy podejrzany wpis zostanie
wykryty.

%prep
%setup -q -n %{name}-%{version}
%configure
%{__make}

%install
rm -rf $RPM_BUILD_ROOT
%{__make} install DESTDIR=$RPM_BUILD_ROOT

%clean
rm -rf $RPM_BUILD_ROOT

%files
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README
%attr(755,root,root) %{_bindir}/prelude-lml
%{_libdir}/prelude-lml/*
%{_sysconfdir}/prelude-lml/*
%{_includedir}/prelude-lml/*.h

%define date	%(echo `LC_ALL="C" date +"%a %b %d %Y"`)
%changelog
* %{date} PLD Team <feedback w pld.org.pl>
All persons listed below can be reached at <cvs_login>@pld.org.pl

$Log:$
* Sat May 17 2003 deletek
- few changes for compatibility with PLD
- Relase changed to 0.8.3
- few dependencies added
* Wed Sep 03 2002 Sylvain GIL <prelude-packaging w tootella.org> 0.8.1-1
- Initial Packaging.

-------------- następna część ---------
# $Revision:$, $Date:$
Summary:	Prelude Hybrid Intrusion Detection System Manager
Summary(pl):	Manager Prelude Hybrid IDS
Name:		prelude-manager
Version:	0.8.7
Release:	1
License:	GPL
Group:		Applications/System
URL:		http://www.prelude-ids.org/
Source0:	http://www.prelude-ids.org/download/releases/%{name}-%{version}.tar.gz
Buildroot:	%{tmpdir}/%{name}-%{version}-root-%(id -u -n)
BuildRequires:	openssl-devel
BuildRequires:	libprelude-devel >= 0.8.5
Requires:	libprelude >= 0.8.5

%description
Prelude Manager is the main program of the Prelude Hybrid IDS suite.
It is a multithreaded server which handles connections from the
Prelude sensors. It is able to register local or remote sensors, let
the operator configure them remotely, receive alerts, and store alerts
in a database or any format supported by reporting plugins, thus
providing centralized logging and analysis. It also provides relaying
capabilities for failover and replication. The IDMEF standard is used
for alert representation. Support for filtering plugins allows you to
hook in different places in the Manager to define custom criteria for
alert relaying and logging.

%description -l pl
Manager Prelude jest podstawą systemu IDS. Obsługuje połączenia
sensorów, przyjmuje alerty i zapisuje je w bazie lub w jaki'm kolwiek
innym, chcianym przez nas formacie. Pozwala zarządzać "centralnie"
logami. Poza tym obsługuje błędy. Obsługuje wtyczkę do filtrowania i
pozwala Ci określić kryteria według, których alerty zostaną wysłane i
logowane.


%package devel
Summary:	Libraries, includes, etc. to develop Prelude IDS Manager plugins
Summary(pl):	Bibliotek, include i tym podobne, pozwalające rozwijać wtyczki Prelude IDS Managera
Group:		Development/Libraries
Requires:	%{name} = %{version}
BuildRequires:	libprelude-devel

%description devel
Install this package if you want to build Prelude IDS Manager Plugins.

%description devel -l pl
Pakiet pozwala rozwijać wtyczki do Prelude IDS Managera. Zainstaluj
jeśli chcesz to robić.

%package mysql-plugin
Summary:	MySQL report plugin for Prelude IDS Manager
Summary(pl):	Wtyczka do MySQL dla Prelude IDS Managera
Group:		Applications/System
Requires:	%{name} = %{version}
BuildRequires:	mysql-devel

%description mysql-plugin
This plugin adds Database logging capabilities to the Prelude IDS
Manager.

%description mysql-plugin -l pl
Wtyczka ta pozwala na raportowanie alertów do bazy MySQL

%package xml-plugin
Summary:	XML report plugin for Prelude IDS Manager
Summary(pl):	Wtyczka do XMLa dla Prelude IDS Managera
Group:		Applications/System
Requires:	%{name} = %{version}
BuildRequires:	libxml2-devel

%description xml-plugin
This plugin adds XML logging capabilities to the Prelude IDS Manager.

%description xml-plugin -l pl
Wtyczka ta pozwala na raportowanie alertów w postaci XML.

%prep
%setup -q -n %{name}-%{version}
%configure
%{__make}

%install
rm -rf $RPM_BUILD_ROOT
%{__make} DESTDIR=$RPM_BUILD_ROOT install

%clean
rm -rf $RPM_BUILD_ROOT

%files
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%attr(755,root,root) %{_bindir}/prelude-manager
%attr(755,root,root) %{_bindir}/manager-adduser
%{_libdir}/prelude-manager/decodes/prelude-nids.la
%{_libdir}/prelude-manager/decodes/prelude-nids.so
%{_libdir}/prelude-manager/reports/textmod.so
%{_libdir}/prelude-manager/reports/textmod.la
%{_libdir}/prelude-manager/reports/debug.so
%{_libdir}/prelude-manager/reports/debug.la
%{_sysconfdir}/prelude-manager/*
%dir /var/spool/prelude-manager


%files devel
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%{_includedir}/prelude-manager/*.h


%files mysql-plugin
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%attr(755,root,root) %{_bindir}/prelude-manager-db-create.sh
%{_libdir}/prelude-manager/db/mysql.so
%{_libdir}/prelude-manager/db/mysql.la


%files xml-plugin
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%{_libdir}/prelude-manager/reports/xmlmod.so
%{_libdir}/prelude-manager/reports/xmlmod.la

%define date	%(echo `LC_ALL="C" date +"%a %b %d %Y"`)
%changelog
* %{date} PLD Team <feedback w pld.org.pl>
All persons listed below can be reached at <cvs_login>@pld.org.pl

$Log:$
-------------- następna część ---------
# $Revision:$, $Date:$
Summary:	Prelude Hybrid Intrusion Detection System - Network Sensor
Summary(pl):	Sensor sieciowy Prelude Hybrid IDS
Name:		prelude-nids
Version:	0.8.1
Release:	1
License:	GPL
Group:		Networking
URL:		http://www.prelude-ids.org/
Source0:	http://www.prelude-ids.org/download/releases/%{name}-%{version}.tar.gz
BuildRoot:	%{tmpdir}/%{name}-%{version}-root-%(id -u -n)
BuildRequires:	libprelude-devel
BuildRequires:	byacc
BuildRequires:	flex
Requires:	libprelude >= 0.8.4

%description
Prelude NIDS is the network-based sensor program part of the Prelude
Hybrid IDS suite. It provides network monitoring with fast pattern
matching (Boyer-Moore) to detect attacks against a network. It
includes advanced mechanisms such as a generic signature engine which
is able to understand any ruleset as long as there is a dedicated
parser, protocol and detection analysis plugins featuring Telnet, RPC,
HTTP, and FTP decoding and preprocessors for cross-platform
polymorphic shellcodes detection, ARP misuse detection, and scanning
detection. It supports IP fragmentation and TCP segmentation to track
connections and detect stateful events.

%description -l pl
Prelude NIDS jest opartym na sieciowych rozwiązaniach sensorem -
częścią Prelude Hybrid IDS. Pozwala w szybki sposób monitorować sieć,
tak aby wykryć ataki przeciwko naszej sieci. Charakteryzuję się
skomplikowanymi mechanizmami takimi jak 'signature engine', który
pozwala zrozumieć każdy zestaw regółek tak długich jak tylko chcemy.
Pozwala rozpoznać ataki Telnet, RPC, HTTP, FTP i innych serwerów
pozwalających wykonać shellcode. Obsługuje connection tracking i
fragmentacje pakietów.

%prep
%setup -q -n %{name}-%{version}
%configure
%{__make}

%install
rm -rf $RPM_BUILD_ROOT
%{__make} DESTDIR=$RPM_BUILD_ROOT install

%clean
rm -rf $RPM_BUILD_ROOT

%files
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%attr(755,root,root) %{_bindir}/prelude-nids
%{_libdir}/prelude-nids/detects/*
%{_libdir}/prelude-nids/protocols/*
%{_sysconfdir}/prelude-nids/*
%{_includedir}/prelude-nids/*.h
%{_mandir}/man8/prelude-nids*

%define date	%(echo `LC_ALL="C" date +"%a %b %d %Y"`)
%changelog
* %{date} PLD Team <feedback w pld.org.pl>
All persons listed below can be reached at <cvs_login>@pld.org.pl

$Log:$
* Sat May 17 2003 deletek
- few changes for compatibility with PLD
* Wed Sep 03 2002 Sylvain GIL <prelude-packaging w tootella.org> 0.8.1-2
- Increased libprelude dependency version
* Mon Sep 01 2002 Sylvain GIL <prelude-packaging w tootella.org> 0.8.1-1
-  Initial Packaging.

-------------- następna część ---------
# $Revision:$, $Date:$
Summary:	Prelude Hybrid Intrusion Detection System Library
Summary(pl):	Biblioteka systemu detekcji włamań - Prelude Hybrid
Name:		libprelude
Version:	0.8.5
Release:	1
License:	GPL
Group:		Libraries
%{!?_without_gtkdoc:BuildRequires:	gtk-doc}
BuildRequires:	openssl-devel
URL:		http://www.prelude-ids.org/
Source0:	http://www.prelude-ids.org/download/releases/%{name}-%{version}.tar.gz
BuildRoot:	%{tmpdir}/%{name}-%{version}-root-%(id -u -n)

%description
The Prelude Library is a collection of generic functions providing
communication between the Prelude Hybrid IDS suite components. It
provides a convenient interface for sending alerts to Prelude Manager
with transparent SSL, failover and replication support, asynchronous
events and timer interfaces, an abstracted configuration API (hooking
at the commandline, the configuration line, or wide configuration,
available from the Manager), and a generic plugin API. It allows you
to easily turn your favorite security program into a Prelude sensor.

%description -l pl
Bibliotek Prelude jest kolekcją podstawowych funkcji, służących do
komunikacji między Prelude Hybrid IDS a resztą komponentów. Zapewnia
interfejs do przesyłania alertów do Prelude Manager'a z przeźroczystym
SSL'em, obsługą błedów, obsługą konfiguracji. Pozwala zamienić Twój
ulubiony program do zabezpieczeń w sensor Prelude.

%package devel
Summary:	Libraries, includes, etc. to develop Prelude IDS sensors
Summary(pl):	Biblioteki, includy i inne rzeczy do rozwoju sensorów Prelude IDS
Group:		Development/Libraries
Requires:	%{name} = %{version}
Requires:	openssl-devel

%description devel
Libraries, include files, etc you can use to develop Prelude IDS
sensors using the Prelude Library.

%description devel -l pl
Biblioteki, include i inne pliki które pozwolą Ci rozwijać sensory
Prelude IDS.

%prep
%setup -q -n %{name}-%{version}
cd libltdl
%{__autoconf}
cd ..
%configure \
	%{!?_without_gtkdoc:--enable-gtk-doc} \
	--with-html-dir=%{_gtkdocdir}
%{__make}

%install
rm -rf $RPM_BUILD_ROOT
%{__make} install DESTDIR=$RPM_BUILD_ROOT

%clean
rm -rf $RPM_BUILD_ROOT

%files
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README
%attr(755,root,root) %{_bindir}/sensor-adduser
%{_libdir}/*.so.*
%{_sysconfdir}/prelude-sensors/*
%dir /var/spool/prelude-sensors

%files devel
%defattr(644,root,root,755)
%doc AUTHORS ChangeLog README INSTALL
%attr(755,root,root) %{_bindir}/libprelude-config
%attr(755,root,root) %{_libdir}/*.so
%{_libdir}/*.la
%{_includedir}/libprelude/*.h
%{_gtkdocdir}/*

%define date	%(echo `LC_ALL="C" date +"%a %b %d %Y"`)
%changelog
* %{date} PLD Team <feedback w pld.org.pl>
All persons listed below can be reached at <cvs_login>@pld.org.pl

$Log:$

Więcej informacji o liście dyskusyjnej pld-users-pl