Похоже, что за последние несколько месяцев мой сайт стал объектом пристального внимания. Пытаясь лучше разобраться с этим, я установил SNORT на одну из машин, подверженных внешнему воздействию. Что-то не должно быть установлено правильно, так как я вижу много запросов в / var / log / messages, но snort ничего не регистрирует.
Система: CentOS 6.2 (32 бит)
Snort: (последняя сборка и правила)
Snort настроен с этого отличного сайта: http://nachum234.no-ip.org/security/snort/001-snort-installation-on-centos-6-2/
snort работает как демон: / usr / local / bin / snort -d -D -i bond0 -u snort -g snort -c /etc/snort.d/snort.conf -l / var / log / snort
Файл snort.log пуст, несмотря на сотни (или более) неудачных попыток входа с отдельных IP-адресов. Может, мне не хватает смысла SNORT? Я надеялся, что в него войдет такая информация.
Пока демон Snort работает, проблема, которая обычно вызывает такое поведение, обычно является одной из трех:
На данный момент я предполагаю, что, вероятно, нужно по-другому указать интерфейс для демона. Если вы на самом деле не используете связанный интерфейс (не упомянутый в вашем вопросе), это было бы первое место, куда я бы посмотрел.