<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="font-family: Calibri,sans-serif; font-size: 11pt;">Can you please run PulledPork with -v and copy the output? I recall my output had lines confirming that the .so rules are being copied, including the new .so rules that were formed due to the recent
 categorization of the .so rules - which I took as a confirmation that it is working. I will cross check the output from your run with mine by tomorrow.<br>
<br>
YM<br>
<br>
Sent from Mobile</div>
</div>
<div dir="ltr">
<hr>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font-weight: bold;">From:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt;"><a href="mailto:jlay@...13475...">James Lay</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font-weight: bold;">Sent:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt;">‎11/‎12/‎2014 12:23 AM</span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font-weight: bold;">To:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt;"><a href="mailto:snort@...15979...">Y M</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font-weight: bold;">Cc:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt;"><a href="mailto:snort-users@lists.sourceforge.net">snort-users</a></span><br>
<span style="font-family: Calibri,sans-serif; font-size: 11pt; font-weight: bold;">Subject:
</span><span style="font-family: Calibri,sans-serif; font-size: 11pt;">RE: [Snort-users] Upgrade to 2.9.7.0 results in Pulledpork not  generating stub rules</span><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">On 2014-11-11 14:23, Y M wrote:<br>
> Hmm..The second command will only generate the stub rules (.rules) <br>
> for<br>
> the .so rules but not the .so files themselves.<br>
><br>
>  The way PulledPork knows which ones to copy as far as I understand <br>
> is<br>
> by reading the version from Snort binary itself or if you have the<br>
> version explicitly specified in pulledpork.conf. Either ways, I think<br>
> the distro also plays a role in it. For example, under the<br>
> so_rules/precompiled/ there is no directory for Ubuntu 14-04 last <br>
> time<br>
> I checked, so if the distro is not specified properly PulledPork "may<br>
> not" be able to copy them. I can verify tomorrow.<br>
><br>
>  YM<br>
><br>
>  Sent from Mobile<br>
><br>
> -------------------------<br>
>  From: James Lay [1]<br>
>  Sent: ‎11/‎12/‎2014 12:07 AM<br>
>  To: Y M [2]<br>
>  Cc: snort-users [3]<br>
>  Subject: RE: [Snort-users] Upgrade to 2.9.7.0 results in Pulledpork<br>
> not generating stub rules<br>
><br>
> On 2014-11-11 13:52, Y M wrote:<br>
>  >> To: snort@...15979...<br>
>  >> Subject: RE: [Snort-users] Upgrade to 2.9.7.0 results in<br>
> Pulledpork<br>
>  > not generating stub rules<br>
>  >> Date: Tue, 11 Nov 2014 13:46:41 -0700<br>
>  >> From: jlay@...13475...<br>
>  >> CC: snort-users@lists.sourceforge.net<br>
>  >><br>
>  >> On 2014-11-11 13:43, Y M wrote:<br>
>  >> >> To: snort-users@lists.sourceforge.net<br>
>  >> >> Date: Tue, 11 Nov 2014 13:37:26 -0700<br>
>  >> >> From: jlay@...13475...<br>
>  >> >> Subject: Re: [Snort-users] Upgrade to 2.9.7.0 results in<br>
>  > Pulledpork<br>
>  >> > not generating stub rules<br>
>  >> >><br>
>  >> >> On 2014-11-11 13:33, Joel Esler (jesler) wrote:<br>
>  >> >> > Looks like you are trying to use 2962 rules with 2970 or<br>
>  >> > something.<br>
>  >> >> ><br>
>  >> >> > --<br>
>  >> >> > JOEL ESLER Sent from my iPhone<br>
>  >> >> ><br>
>  >> >> > On Nov 11, 2014, at 3:12 PM, James Lay<br>
>  > <jlay@...13475...<br>
>  >> >> > [6]><br>
>  >> >> > wrote:<br>
>  >> >> ><br>
>  >> >> >> Topic says it:<br>
>  >> >> >><br>
>  >> >> >> Generating Stub Rules....<br>
>  >> >> >> An error occurred: WARNING: No dynamic libraries found in<br>
>  >> >> >> directory /usr/local/lib/snort_dynamicrules.<br>
>  >> >> >><br>
>  >> >> >> Indeed after clearing out snort_dynamicrules after:<br>
>  >> >> >><br>
>  >> >> >> An error occurred: ERROR: The dynamic detection library<br>
>  >> >> >> "/usr/local/lib/snort_dynamicrules/web-activex.so" version<br>
> 1.0<br>
>  >> >> >> compiled<br>
>  >> >> >> with dynamic engine library version 2.1 isn't compatible<br>
> with<br>
>  > the<br>
>  >> >> >> current dynamic engine library<br>
>  >> >> >> "/usr/local/lib/snort_dynamicengine/libsf_engine.so" <br>
> version<br>
>  > 2.4.<br>
>  >> >> >><br>
>  >> >> >> I'm using VRT ruleset...has something changes since <br>
> 2.9.6.2?<br>
>  >> > Thank<br>
>  >> >> >> you.<br>
>  >> >> >><br>
>  >> >> >> James<br>
>  >> >> >><br>
>  >> >><br>
>  >> >> Maybe I need to blow out the rules....my pp run shows:<br>
>  >> >><br>
>  >> >> Checking latest MD5 for snortrules-snapshot-2970.tar.gz....<br>
>  >> >> Rules tarball download of snortrules-snapshot-2970.tar.gz....<br>
>  >> >><br>
>  >> >> So not sure at this point...I'll try nuking the rules..thanks<br>
> for<br>
>  >> >> looking Joel.<br>
>  >> >><br>
>  >> >> James<br>
>  >> ><br>
>  >> > Try manually deleting the old .so rules and then copy the new<br>
>  > ones.<br>
>  >> > Thats what I did on the dev box and it was a smooth upgrade.<br>
>  >> ><br>
>  >> > YM<br>
>  >><br>
>  >> Thanks YM..can you refresh my memory on how to create the so <br>
> rules<br>
>  >> manually? Been using PP too long I guess :) Thanks again.<br>
>  >><br>
>  >> James<br>
>  ><br>
>  > They should be included in the rules tarball itself:<br>
>  ><br>
>  > cp so_rules/precompiled/<distro>/<archi>/2.9.7.0/*<br>
>  > /snort/path/lib/snort_dynamicrules/<br>
>  ><br>
>  > or if your want to just generate the stub files:<br>
>  ><br>
>  > /usr/local/bin/snort -c /usr/local/etc/snort.conf<br>
>  > --dump-dynamic-rules=/tmp<br>
>  ><br>
>  > YM<br>
><br>
>  Thanks YM...I had to copy them since it didn't look like generating<br>
>  them actually created so, just precomp:<br>
><br>
>  Running in Rule Dump mode<br>
><br>
>  --== Initializing Snort ==--<br>
>  Initializing Output Plugins!<br>
>  Initializing Preprocessors!<br>
>  Initializing Plug-ins!<br>
>  Parsing Rules file "external.conf"<br>
>  PortVar 'HTTP_PORTS' defined : [ 80 8080 ]<br>
>  PortVar 'SHELLCODE_PORTS' defined : [ 0:24 26:79 81:65535 ]<br>
>  PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ]<br>
>  PortVar 'SSH_PORTS' defined : [ 22 ]<br>
>  PortVar 'FTP_PORTS' defined : [ 21 2100 3535 ]<br>
>  PortVar 'SIP_PORTS' defined : [ 5060:5061 5600 ]<br>
>  PortVar 'FILE_DATA_PORTS' defined : [ 25 80 8080 ]<br>
>  PortVar 'GTP_PORTS' defined : [ 2123 2152 3386 ]<br>
>  Detection:<br>
>  Search-Method = AC-Full-Q<br>
>  Split Any/Any group = enabled<br>
>  Search-Method-Optimizations = enabled<br>
>  Maximum pattern length = 20<br>
>  Tagged Packet Limit: 256<br>
>  Loading dynamic engine<br>
>  /usr/local/lib/snort_dynamicengine/libsf_engine.so... done<br>
>  Loading all dynamic detection libs from<br>
>  /usr/local/lib/snort_dynamicrules...<br>
>  WARNING: No dynamic libraries found in directory<br>
>  /usr/local/lib/snort_dynamicrules.<br>
>  Finished Loading all dynamic detection libs from<br>
>  /usr/local/lib/snort_dynamicrules<br>
>  Loading all dynamic preprocessor libs from<br>
>  /usr/local/lib/snort_dynamicpreprocessor/...<br>
>  Loading dynamic preprocessor library<br>
>  /usr/local/lib/snort_dynamicpreprocessor//libsf_pop_preproc.so...<br>
> done<br>
><br>
>  I think I'm missing a step, but I'm gonna roll with it...I don't<br>
> think<br>
>  my pp is correctly creating the the so rules. :(<br>
><br>
>  James<br>
><br>
<br>
Thanks YM...here's what I got from pp.conf:<br>
<br>
distro=Ubuntu-12-4<br>
<br>
And after sshing in:<br>
<br>
Welcome to Ubuntu 12.04.5 LTS (GNU/Linux 3.13.0-39-generic x86_64)<br>
<br>
Yea...something seems not to be working...all my other instances have <br>
outdated so rules...hrmmm.<br>
<br>
James<br>
<br>
</div>
</div>
</body>
</html>