<div dir="ltr"><div dir="ltr">Someone tell me? I need your help.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr"><<a href="mailto:oisf-users-request@lists.openinfosecfoundation.org">oisf-users-request@lists.openinfosecfoundation.org</a>> 于2019年9月27日周五 下午1:45写道:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Send Oisf-users mailing list submissions to<br>
        <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:oisf-users-request@lists.openinfosecfoundation.org" target="_blank">oisf-users-request@lists.openinfosecfoundation.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:oisf-users-owner@lists.openinfosecfoundation.org" target="_blank">oisf-users-owner@lists.openinfosecfoundation.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Oisf-users digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Rule updates (Jason Ish)<br>
   2. Re: [EXT] Re:  4.1.5 Startup Error (jt)<br>
   3. Re: [EXT] Re:  4.1.5 Startup Error (Cloherty, Sean E)<br>
   4. Suricata Lua API (stack overflow) (Shell_Xu)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Thu, 26 Sep 2019 09:13:50 -0600<br>
From: Jason Ish <<a href="mailto:jason.ish@oisf.net" target="_blank">jason.ish@oisf.net</a>><br>
To: <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
Subject: Re: [Oisf-users] Rule updates<br>
Message-ID: <<a href="mailto:d4c58f5c-b937-27ea-6a5a-b2c0e7d84953@oisf.net" target="_blank">d4c58f5c-b937-27ea-6a5a-b2c0e7d84953@oisf.net</a>><br>
Content-Type: text/plain; charset=utf-8<br>
<br>
On 2019-09-26 8:12 a.m., David Decker wrote:<br>
> All,<br>
> <br>
> I have a few off-line systems running in different location with limited<br>
> bandwidth and would like to keep them all on the same rule sets.  <br>
> <br>
> If I have a "master" for lack of better terms with tuned rule sets and<br>
> newest rules, is it possible to just copy the /rules directory, or more<br>
> files required?  <br>
> <br>
> Would this be possible instead of having to send out the ET rules, VRT<br>
> rules, custom rules to each for them to run suricata-update?<br>
<br>
Yes. Its just files so you are pretty flexible to do what you want.<br>
<br>
I've heard of use cases where suricata-update is used on one machine,<br>
and the resulting /var/lib/suricata/rules/suricata.rules is then pushed<br>
out to sensors with tools like Ansible, Salt, etc. Of course you could<br>
just use scp, or whatever. Just remember to SIGUSR2, or use suricatasc<br>
reload-rules to reload your rules after placing the new file in place.<br>
<br>
<br>
Jason<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Thu, 26 Sep 2019 11:39:54 -0400<br>
From: jt <<a href="mailto:jtfas90@gmail.com" target="_blank">jtfas90@gmail.com</a>><br>
To: "Cloherty, Sean E" <<a href="mailto:scloherty@mitre.org" target="_blank">scloherty@mitre.org</a>>, "<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>"<br>
        <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>>, "<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>"<br>
        <<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>><br>
Subject: Re: [Oisf-users] [EXT] Re:  4.1.5 Startup Error<br>
Message-ID: <<a href="mailto:81e36d6ece895ce7981e03d68316d19f22b8bbec.camel@gmail.com" target="_blank">81e36d6ece895ce7981e03d68316d19f22b8bbec.camel@gmail.com</a>><br>
Content-Type: text/plain; charset="UTF-8"<br>
<br>
On Thu, 2019-09-26 at 14:26 +0000, Cloherty, Sean E wrote:<br>
> I was under the impression that the install included its own libhtp<br>
> package.  <br>
> <br>
Are you installing from the 4.1.5 tarball? If so, you're right libhtp<br>
is bundled.<br>
<br>
> Is it possible that installing 4.1.5 after 5.0.0beta1 is causing<br>
> this?<br>
<br>
For what it's worth, we run 4.1.x and master branch/5.x side by side<br>
and haven't seen this. <br>
<br>
That being said depending on install paths and uninstall/install<br>
methods there are some odd things going on.<br>
<br>
JT<br>
> Thanks.<br>
> <br>
> -----Original Message-----<br>
> From: Oisf-users <<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>><br>
> On Behalf Of Victor Julien<br>
> Sent: Thursday, September 26, 2019 9:43 AM<br>
> To: <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
> Subject: [EXT] Re: [Oisf-users] 4.1.5 Startup Error<br>
> <br>
> On 26-09-19 15:24, Cloherty, Sean E wrote:<br>
> > Anybody else seeing this ?  I get the following error following a<br>
> > new <br>
> > install of 4.1.5 – > undefined symbol: htp_config_set_lzma_memlimit<br>
> > <br>
> >  <br>
> > <br>
> > I am running on CentOS 7 and here is my configuration statement -<br>
> > <br>
> >  <br>
> > <br>
> > ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var <br>
> > --with-libhs-includes=/usr/local/include/hs/<br>
> > --with-libhs-libraries=/usr/local/lib/<br>
> > --with-liblzma-includes=/usr/include/ --enable-gccprotect <br>
> > --enable-gccprofile --enable-gccmarch-native  --enable-profiling <br>
> > --enable-lua --enable-geoip --enable-rust --enable-unix-socket<br>
> > <br>
> >  <br>
> > <br>
> > Any ideas ?<br>
> <br>
> Could you be having a outdated libhtp checkout in the suricata<br>
> directory?<br>
> <br>
> --<br>
> ---------------------------------------------<br>
> Victor Julien<br>
> <a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
> PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
> ---------------------------------------------<br>
> <br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Thu, 26 Sep 2019 20:59:33 +0000<br>
From: "Cloherty, Sean E" <<a href="mailto:scloherty@mitre.org" target="_blank">scloherty@mitre.org</a>><br>
To: jt <<a href="mailto:jtfas90@gmail.com" target="_blank">jtfas90@gmail.com</a>>, "<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>" <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>>,<br>
        "<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>"<br>
        <<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>><br>
Subject: Re: [Oisf-users] [EXT] Re:  4.1.5 Startup Error<br>
Message-ID:<br>
        <<a href="mailto:SN6PR0901MB2400D5F863633A624C57D592A8860@SN6PR0901MB2400.namprd09.prod.outlook.com" target="_blank">SN6PR0901MB2400D5F863633A624C57D592A8860@SN6PR0901MB2400.namprd09.prod.outlook.com</a>><br>
<br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
I think I've fixed this now.<br>
<br>
I installed the latest libhtp package from the OISF github site, extracted a new copy of the suricata tarball files, recompiled, and now it is looking good. <br>
<br>
<br>
Sean<br>
-----Original Message-----<br>
From: jt <<a href="mailto:jtfas90@gmail.com" target="_blank">jtfas90@gmail.com</a>> <br>
Sent: Thursday, September 26, 2019 11:40 AM<br>
To: Cloherty, Sean E <<a href="mailto:scloherty@mitre.org" target="_blank">scloherty@mitre.org</a>>; <a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>; <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
Subject: Re: [Oisf-users] [EXT] Re: 4.1.5 Startup Error<br>
<br>
On Thu, 2019-09-26 at 14:26 +0000, Cloherty, Sean E wrote:<br>
> I was under the impression that the install included its own libhtp <br>
> package.<br>
> <br>
Are you installing from the 4.1.5 tarball? If so, you're right libhtp is bundled.<br>
<br>
> Is it possible that installing 4.1.5 after 5.0.0beta1 is causing this?<br>
<br>
For what it's worth, we run 4.1.x and master branch/5.x side by side and haven't seen this. <br>
<br>
That being said depending on install paths and uninstall/install methods there are some odd things going on.<br>
<br>
JT<br>
> Thanks.<br>
> <br>
> -----Original Message-----<br>
> From: Oisf-users <<a href="mailto:oisf-users-bounces@lists.openinfosecfoundation.org" target="_blank">oisf-users-bounces@lists.openinfosecfoundation.org</a>><br>
> On Behalf Of Victor Julien<br>
> Sent: Thursday, September 26, 2019 9:43 AM<br>
> To: <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a><br>
> Subject: [EXT] Re: [Oisf-users] 4.1.5 Startup Error<br>
> <br>
> On 26-09-19 15:24, Cloherty, Sean E wrote:<br>
> > Anybody else seeing this ?  I get the following error following a <br>
> > new install of 4.1.5 – > undefined symbol: <br>
> > htp_config_set_lzma_memlimit<br>
> > <br>
> >  <br>
> > <br>
> > I am running on CentOS 7 and here is my configuration statement -<br>
> > <br>
> >  <br>
> > <br>
> > ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var <br>
> > --with-libhs-includes=/usr/local/include/hs/<br>
> > --with-libhs-libraries=/usr/local/lib/<br>
> > --with-liblzma-includes=/usr/include/ --enable-gccprotect <br>
> > --enable-gccprofile --enable-gccmarch-native  --enable-profiling <br>
> > --enable-lua --enable-geoip --enable-rust --enable-unix-socket<br>
> > <br>
> >  <br>
> > <br>
> > Any ideas ?<br>
> <br>
> Could you be having a outdated libhtp checkout in the suricata <br>
> directory?<br>
> <br>
> --<br>
> ---------------------------------------------<br>
> Victor Julien<br>
> <a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
> PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
> ---------------------------------------------<br>
> <br>
<br>
<br>
------------------------------<br>
<br>
Message: 4<br>
Date: Fri, 27 Sep 2019 13:44:54 +0800<br>
From: Shell_Xu <<a href="mailto:xuh881026@gmail.com" target="_blank">xuh881026@gmail.com</a>><br>
To: Open Information Security Foundation<br>
        <<a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfoundation.org</a>><br>
Subject: [Oisf-users] Suricata Lua API (stack overflow)<br>
Message-ID:<br>
        <CAHY=<a href="mailto:VAom8Fqae%2BXb0A4oQGsCP3hUJCTL8X%2B_J9G1LJrcXg81DQ@mail.gmail.com" target="_blank">VAom8Fqae+Xb0A4oQGsCP3hUJCTL8X+_J9G1LJrcXg81DQ@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="utf-8"<br>
<br>
HI, Suricata Team:<br>
<br>
    I tried to use Lua scripts to audit all HTTP traffic, but after the<br>
script runs for about 30 seconds, the program automatically exits and<br>
outputs the following message: PANIC: unprotected error in call to Lua API<br>
(stack overflow).Since I don't want to log all HTTP headers, I didn't<br>
enable the dump-all-headers option.Lua scripts were used to implement my<br>
needs.But obviously, I have a problem now, can anyone help me?<br>
Is this problem caused by Lua scripts unable to withstand HTTP traffic?<br>
<br>
Traffic 1.5Gbpps<br>
CPU: 1 CPU 36 core<br>
Memory: 60G<br>
Suricata 5.0.0-rc1<br>
<br>
My lua script code is in the attachment, please correct me my mistake, any<br>
help makes sense to me.<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://lists.openinfosecfoundation.org/pipermail/oisf-users/attachments/20190927/8c758759/attachment.html" rel="noreferrer" target="_blank">http://lists.openinfosecfoundation.org/pipermail/oisf-users/attachments/20190927/8c758759/attachment.html</a>><br>
-------------- next part --------------<br>
A non-text attachment was scrubbed...<br>
Name: http_audit_demo.lua<br>
Type: application/octet-stream<br>
Size: 5692 bytes<br>
Desc: not available<br>
URL: <<a href="http://lists.openinfosecfoundation.org/pipermail/oisf-users/attachments/20190927/8c758759/attachment.obj" rel="noreferrer" target="_blank">http://lists.openinfosecfoundation.org/pipermail/oisf-users/attachments/20190927/8c758759/attachment.obj</a>><br>
<br>
------------------------------<br>
<br>
Subject: Digest Footer<br>
<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@lists.openinfosecfoundation.org" target="_blank">Oisf-users@lists.openinfosecfoundation.org</a><br>
<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
<br>
------------------------------<br>
<br>
End of Oisf-users Digest, Vol 118, Issue 28<br>
*******************************************<br>
</blockquote></div></div>