<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
  <title></title>
</head>
<body>
Allen,<br>
Check out snort.org.  The first news article on the main page describes the
vulnerability and has a link to download snort 2.0. Snort 2.0 was officially
released April 14th or thereabouts.<br>
<br>
-Mike<br>
<br>
Allen, Garrett wrote:<br>
<blockquote type="cite"
 cite="mid0C3B882E11C8D61187F900508BBD301B017C8ADE@...8967...">
  <pre wrap="">sorry.  red hat 8.0.  thanks for the tips.  2.0 shows as beta on the
snort.org web page and i try to avoid beta software.  might i enquire as to
the nature of the vulnerability?

thanks.

-----Original Message-----
From: twig les [<a class="moz-txt-link-freetext" href="mailto:twigles@...131...">mailto:twigles@...131...</a>]
Sent: Tuesday, April 22, 2003 4:37 PM
To: Allen, Garrett; '<a class="moz-txt-link-abbreviated" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>'
Subject: Re: [Snort-users] new user, great product, but ...


You didn't mention your OS, but since you have a /var I can
safely suggest quotas to at least make sure /var doesn't hit
%100.  Once you get mysql up you can stop logging to the flat
text.  If you are wondering if there is a method of making a
signature fire once/100 alerts or something like that then I
don't think that exists.

BTW, 1.9.1 has a vulnerability so as long as you're doing a
fresh install you might as well use 2.0.

--- "Allen, Garrett" <a class="moz-txt-link-rfc2396E" href="mailto:Garrett.Allen@...8966..."><Garrett.Allen@...8966...></a> wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">heys,

installed version 1.9.1 (build 231) of the pink beastie.  very
interesting
results captured from our network.  pointed to a potential
issue with xp
configs.  i'm generating log files, haven't quite got the
mastery of mysql
installation yet.  anyways, here's the question:

the very day i started using snort for real was the day one of
our wandering
sales minstrals returns with an ms-sql worm.  it momentarily
shut down our
net when he fired up his machine, then went for coffee,
flooding the network
with traffic as a worm is want to do.  we were able to quickly
detect where
the problem originated from and shut the machine down.  but in
the meantime
snort generated enough log files to fill /var.  ouch.  any way
to slow down
the volume of log entries?  any other operational tips?

thanks in advance.


-------------------------------------------------------
This sf.net email is sponsored by:ThinkGeek
Welcome to geek heaven.
<a class="moz-txt-link-freetext" href="http://thinkgeek.com/sf">http://thinkgeek.com/sf</a>
_______________________________________________
Snort-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a class="moz-txt-link-freetext" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a class="moz-txt-link-freetext" href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a>
    </pre>
  </blockquote>
  <pre wrap=""><!---->

=====
-----------------------------------------------------------
Know yourself and know your enemy and you will never fear defeat.         
-----------------------------------------------------------

__________________________________________________
Do you Yahoo!?
The New Yahoo! Search - Faster. Easier. Bingo
<a class="moz-txt-link-freetext" href="http://search.yahoo.com">http://search.yahoo.com</a>


-------------------------------------------------------
This sf.net email is sponsored by:ThinkGeek
Welcome to geek heaven.
<a class="moz-txt-link-freetext" href="http://thinkgeek.com/sf">http://thinkgeek.com/sf</a>
_______________________________________________
Snort-users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a class="moz-txt-link-freetext" href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a class="moz-txt-link-freetext" href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a>
  </pre>
</blockquote>
<br>
</body>
</html>