Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 30/03/2010, à 09:58

Phoenixian

[RESOLU] Commande BASH - New et Old

Bonjour !

Je me casse un peu la tête pour une petite chose. Voici un exemple du fichier que je veux traiter :

[///]     Modified active rules:     [///]

     -> Modified active in backdoor.rules (1):

        old: alert tcp $HOME_NET 1024: -> $EXTERNAL_NET any (msg:"BACKDOOR fkwp 2.0 runtime detection - connection attempt server-to-client"; flow:from_server,established; flowbits:isset,fkwp_conn_cts; content:"FAI"; depth:3; nocase; metadata:policy security-ips drop; reference:url,www.spywareguide.com/product_show.php?id=815; classtype:trojan-activity; sid:6031; rev:3;)
        new: alert tcp $HOME_NET 1024: -> $EXTERNAL_NET any (msg:"BACKDOOR fkwp 2.0 runtime detection - connection attempt server-to-client"; flow:from_server,established; flowbits:isset,fkwp_conn_cts; dsize:>50; content:"FAI"; depth:3; nocase; metadata:policy security-ips drop; reference:url,www.spywareguide.com/product_show.php?id=815; classtype:trojan-activity; sid:6031; rev:4;)

     -> Modified active in dns.rules (1):

        old: alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"DNS large number of NXDOMAIN replies - possible DNS cache poisoning"; byte_test:1,&,2,3; byte_test:1,&,1,3; byte_test:1,&,128,2; threshold:type threshold, track by_src, count 200, seconds 30; metadata:policy balanced-ips alert, policy security-ips alert, service dns; reference:cve,2008-1447; reference:cve,2009-0233; reference:url,www.kb.cert.org/vuls/id/800113; reference:url,www.microsoft.com/technet/security/bulletin/MS09-008.mspx; classtype:misc-attack; sid:13948; rev:3;)
        new: alert udp $EXTERNAL_NET 53 -> $HOME_NET any (msg:"DNS large number of NXDOMAIN replies - possible DNS cache poisoning"; byte_test:1,&,2,3; byte_test:1,&,1,3; byte_test:1,&,128,2; detection_filter:track by_src, count 200, seconds 30; metadata:policy balanced-ips drop, policy security-ips drop, service dns; reference:cve,2008-1447; reference:cve,2009-0233; reference:url,www.kb.cert.org/vuls/id/800113; reference:url,www.microsoft.com/technet/security/bulletin/MS09-008.mspx; classtype:misc-attack; sid:13948; rev:4;)

     -> Modified active in dos.rules (1):

        old: alert tcp $EXTERNAL_NET any -> $HOME_NET 50000 (msg:"DOS IGM DB2 database server SQLSTT denial of service attempt"; flow:to_server, established; content:"|24 14|"; content:"|D0|"; within:1; distance:-8; byte_test:1, &, 4, 0, relative; metadata:policy balanced-ips drop, policy security-ips drop; reference:cve,2009-0173; classtype:denial-of-service; sid:16364; rev:2;)
        new: alert tcp $EXTERNAL_NET any -> $HOME_NET 50000 (msg:"DOS IBM DB2 database server SQLSTT denial of service attempt"; flow:to_server, established; content:"|24 14|"; content:"|D0|"; within:1; distance:-8; byte_test:1, &, 4, 0, relative; metadata:policy balanced-ips drop, policy security-ips drop; reference:cve,2009-0173; classtype:denial-of-servrence:cve,2003-0719; reference:nessus,12205; reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attempted-admin; sid:2517; rev:20;)
        new: alert tcp $EXTERNAL_NET any -> $HOME_NET 993 (msg:"IMAP PCT Client_Hello overflow attempt"; flow:to_server,established; flowbits:isnotset,sslv2.server_hello.request; flowbits:isnotset,sslv3.server_hello.request; flowbits:isnotset,tlsv1.server_hello.request; content:"|01|"; depth:1; offset:2; byte_test:2,>,0,5; byte_test:2,!,0,7; byte_test:2,!,16,7; byte_test:2,>,20,9; content:"|8F|"; depth:1; offset:11; byte_test:2,>,32768,0,relative; metadata:policy security-ips drop, service imap; reference:bugtraq,10116; reference:cve,2003-0719; reference:nessus,12205; reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attempted-admin; sid:2517; rev:21;)ice; sid:16364; rev:3;)

     -> Modified active in imap.rules (3):

        old: alert tcp $EXTERNAL_NET any -> $HOME_NET 993 (msg:"IMAP PCT Client_Hello overflow attempt"; flow:to_server,established; flowbits:isnotset,sslv2.server_hello.request; flowbits:isnotset,sslv3.server_hello.request; flowbits:isnotset,tlsv1.server_hello.request; content:"|01|"; depth:1; offset:2; byte_test:2,>,0,5; byte_test:2,!,0,7; byte_test:2,!,16,7; byte_test:2,>,20,9; content:"|8F|"; depth:1; offset:11; byte_test:2,>,32768,0,relative; metadata:policy connectivity-ips drop, policy security-ips drop, service imap; reference:bugtraq,10116; reference:cve,2003-0719; reference:nessus,12205; reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attempted-admin; sid:2517; rev:20;)
        new: alert tcp $EXTERNAL_NET any -> $HOME_NET 993 (msg:"IMAP PCT Client_Hello overflow attempt"; flow:to_server,established; flowbits:isnotset,sslv2.server_hello.request; flowbits:isnotset,sslv3.server_hello.request; flowbits:isnotset,tlsv1.server_hello.request; content:"|01|"; depth:1; offset:2; byte_test:2,>,0,5; byte_test:2,!,0,7; byte_test:2,!,16,7; byte_test:2,>,20,9; content:"|8F|"; depth:1; offset:11; byte_test:2,>,32768,0,relative; metadata:policy security-ips drop, service imap; reference:bugtraq,10116; reference:cve,2003-0719; reference:nessus,12205; reference:url,www.microsoft.com/technet/security/bulletin/MS04-011.mspx; classtype:attempted-admin; sid:2517; rev:21;)

Je voudrais une commande sur permet de m'afficher seulement les lignes commençant par " new:" et par " old:". Or, je n'arrive pas à le faire en une seule commande. Voici où j'en suis :

cat /var/log/snort/oinkmaster.log |grep " new:" > fichier
cat /var/log/snort/oinkmaster.log |grep " old:" > fichier

Or je voudrais que les new et old s'affiche l'un en dessou de l'autre pour chaque ligne.

Comment faire pour dire à grep que l'on veut afficher new: et old: à la fois ?

Merci !

Dernière modification par Phoenixian (Le 31/03/2010, à 08:38)

Hors ligne

#2 Le 30/03/2010, à 12:34

AnsuzPeorth

Re : [RESOLU] Commande BASH - New et Old

Bjr,
Le cat est inutile, grep accepte un fichier en argument.
Sinon, regarde l'option R de grep ou egrep (c'est identique), cela te permettra d'utiliser les ER.
Cherches un peu (forum programmation par exemple, les derniers posts en parle des ER justement !), si tu trouves pas, moi ou un autre te donnera la solution wink


Interface graphique pour bash, python ou autre: glade2script
Support Tchat: http://chat.jabberfr.org/muckl_int/inde … ade2script  (Hors ligne)

Hors ligne

#3 Le 30/03/2010, à 12:41

ChRiiS

Re : [RESOLU] Commande BASH - New et Old

Salut Phoenixian,
Tout simplement :

egrep "(old|new)" ton_fichier > sortie

wink
[edit] Arf grillé, et de manière didactique en plus hmm[/edit]

Dernière modification par ChRiiS (Le 30/03/2010, à 12:41)

Hors ligne

#4 Le 30/03/2010, à 12:47

AnsuzPeorth

Re : [RESOLU] Commande BASH - New et Old

Je ne voulais pas donner la réponse ... Et pour être plus précis, l'ER n'est pas necessaires (mais ca permet de bien differencier les choses, sinon on se perds vite entre les ER, le bash & co)

grep 'old\|new' fichier

fonctionne aussi !


Interface graphique pour bash, python ou autre: glade2script
Support Tchat: http://chat.jabberfr.org/muckl_int/inde … ade2script  (Hors ligne)

Hors ligne

#5 Le 30/03/2010, à 12:53

Phoenixian

Re : [RESOLU] Commande BASH - New et Old

Merci énormément !!! big_smile

Hors ligne

#6 Le 30/03/2010, à 12:57

Totor

Re : [RESOLU] Commande BASH - New et Old

AnsuzPeorth a écrit :

Bjr,
[..]
Sinon, regarde l'option R de grep ou egrep (c'est identique), cela te permettra d'utiliser les ER.
[..]

1. ce n'est pas l'option -R mais -E
2. grep exploite déjà les ER. l'option -E (ou le dérivé egrep) permet l'utilisation des Expressions Relationnelles Etendues (ERE).

Dernière modification par Totor (Le 30/03/2010, à 12:57)


-- Lucid Lynx --

Hors ligne

#7 Le 30/03/2010, à 13:09

AnsuzPeorth

Re : [RESOLU] Commande BASH - New et Old

Totor a écrit :
AnsuzPeorth a écrit :

Bjr,
[..]
Sinon, regarde l'option R de grep ou egrep (c'est identique), cela te permettra d'utiliser les ER.
[..]

1. ce n'est pas l'option -R mais -E
2. grep exploite déjà les ER. l'option -E (ou le dérivé egrep) permet l'utilisation des Expressions Relationnelles Etendues (ERE).

Oupsss, dsl, je le savais en plus ...! E pour Egrep ...! Je me demande à quoi je pensais smile
Ahhhh, vi, -r c'est pour sed !
(en ce moment je sais pas où j'ai ma tête !)

EDIT: L'option -R de grep, je m'en sers quand je cherches un item dans plusieurs fichiers d'un dossier ...!

Dernière modification par AnsuzPeorth (Le 30/03/2010, à 13:16)


Interface graphique pour bash, python ou autre: glade2script
Support Tchat: http://chat.jabberfr.org/muckl_int/inde … ade2script  (Hors ligne)

Hors ligne

#8 Le 31/03/2010, à 08:14

Phoenixian

Re : [RESOLU] Commande BASH - New et Old

Merci encore, mais j'ai de nouveau une question.
Toujours en se basant sur le fichier tout en haut, je voudrais isoler cette partie "sid:<numero>". J'ai bien cherché avec la commande cut, mais le soucis c'est que la champ sid ne se trouve pas toujours à la même position suivant les lignes.
Je vois peut être une solution avec un compteur sur une commande cut, puis un echo (tant que la chaine de caract n'est pas sid:*, on continue) mais je trouve trouve cela très très lourd !

Y a-t-il une suite de commande simple pour isoler "sid:<numero>" ?

Merci de votre aide !

Hors ligne

#9 Le 31/03/2010, à 08:34

credenhill

Re : [RESOLU] Commande BASH - New et Old

hello

$ grep -o "sid:[0-9]*" fichier
sid:6031
sid:6031
sid:13948
sid:13948
sid:16364
sid:2517
sid:2517
sid:16364
sid:2517
$

Hors ligne

#10 Le 31/03/2010, à 08:38

Phoenixian

Re : [RESOLU] Commande BASH - New et Old

Wow merci pour l'efficacité et la rapidité big_smile

Hors ligne