Vorraussetzung: "Oinkcode"

• Um Pulled Pork nutzen zu können wird ein sog. "Oinkcode" benötigt, den man nur über eine Registrierung auf der Snortwebsite erhalten kann
• Nach der Anmeldung auf die E-Mail-Adresse mit der angemeldet wurde oben rechts in der Ecke klicken, danach links auf "Oinkcode" um diesen einsehen zu können

Vorraussetzung: Pearl-libs

• apt-get install -y libcrypt-ssleay-perl liblwp-useragent-determined-perl

Installation

• git clone https://github.com/shirkdog/pulledpork.git
• cd pulledpork
• cp pulledpork.pl /usr/local/bin
• chmod +x /usr/local/bin/pulledpork.pl
• cp -v etc/*.conf /etc/snort
• sed -e "s^/usr/local^^" -e "s/<oinkcode>/a4xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxe79/" -e "s/sid_msg_version=1/sid_msg_version=2/" -e "s/distro=.*/distro=Ubuntu-12-04/" etc/pulledpork.conf > /etc/snort/pulledpork.conf

Erster Funktionstest

• root@schnabeltier:~$ /usr/local/bin/pulledpork.pl -V

PulledPork v0.7.2 - E.Coli in your water bottle!

Konfiguration

Erster Manueller Start

• /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf -l

Herrunter geladene Rules zu Snort hinzufügen

• vi /etc/snort/snort.conf

• In Zeile 577 den folgenden Text hinzufügen:

include $RULE_PATH/snort.rules

Änderungen in snort.conf testen

• snort -T -c /etc/snort/snort.conf -i eth0

Automatische Aktualisierung der Rules einrichten

• crontab -e und folgende Zeile hinzufügen:

01 04 * * * /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf -l

Links

• http://sublimerobots.com/2015/12/snort-2-9-8-x-on-ubuntu-part-5/