Archiv verlassen und diese Seite im Standarddesign anzeigen : Snort Meldungen
markwaldhoff
22.01.04, 15:01
Ich bekomme in letzter Zeit ziemlich komische Snort Meldungen... weiß jemand was das bedeuten könnte ?
url[snort] BAD-TRAFFIC loopback traffic 2004-01-22 01:29:24 127.0.0.1:80 213.6.59.213:1984 TCP
Die 127.0.0.1:80 ist die Source-Adresse. (localhost)
Die 213.6.59.213:1984 ist die Destination Adresse
Ein anderer Eintrag:
[snort] (spp_rpc_decode) Incomplete RPC segment 2004-01-21 15:15:42 213.6.59.213:51345 212.204.7.113:111 TCP
Dieser Eintrag kommt sehr oft vor.. manchmal sehr schnell hintereinander....
BAD-TRAFFIC loopback traffic 2004-01-22 01:29:24 127.0.0.1:80 213.6.59.213:1984 TCP
Pakete die über das loopback Interface laufen sollten von 127.0.0.1 auf 127.0.0.1 gehen, alles andere ist ja kein Loopback. Das könnte zum Beispiel ein Rootkit sein dass dadurch dass es sich als "von loopback kommend" ausgibt versucht die Firewall zu umgehen - was bei einem schlechtem Firewallscript vielleicht möglich wäre (iptables -A -i l0 -j ACCEPT)
Incomplete RPC segment 2004-01-21 15:15:42 213.6.59.213:51345 212.204.7.113:111 TCP
RPC Exploits auf Windows Rechner?
mfg
cane
Das hatten wir schonmal, jedoch ohne wirkliche Lösung. Meiner ansicht nach liegt es am Provider. Falls dich der Thread interessiert.. hier: http://www.linuxforen.de/forums/showthread.php?s=&threadid=98669
-ready
Naja, die Hauptsache ist ja dass man es ganz einfach per Iptables unterbinden kann...
mfg
cane
Nein, da sein SNORT diese Meldung produziert. SNORT greift VOR den iptables Regeln.
HTH
Nein, da sein SNORT diese Meldung produziert. SNORT greift VOR den iptables Regeln.
Ich meinte, dass man es unterbinden kann wenn die Pakete durch den Iptables filter laufen - Snort ist ja ein IDS und kein IPS.
Die Logs tauchen natürlich trotzem auf...
Da habe ich mich ein wenig undeutlich ausgedrückt...
Aber wenn Iptables erst filtert und dann an Snort weiterleitet müßte es doch gehen (es gibt doch Snort Inline Scripts).
mfg
cane
Mal davon abgesehen, dass ich mich mit SNORT und inline Skripte nicht auskenne, halte ich es für ziemlich schlecht Pakete zu manipulieren und danach zu Scannen.
Wenn man Pakete mit gewissen Merkmalen nicht überprüfen will, sollte man dies auch nicht tun. :)
markwaldhoff
29.01.04, 08:00
Nein ein RootKit wird es nicht sein.. habe ChkRootkit durchlaufen lassen und da wurde nichts gefunden...
ich denke das wird wahrscheinlich wirklich mit meinem Provider zusammenhängen....
Ich habe mir den Loopback Alert auch nochmal genauer angesehen... der geht von 127.0.0.1 auf meine externe Ip Adresse.... schon irgendwie komisch... aber keine Ahnung wie das kommen kann....
Was mit dem Incomplete RPC Segment gemeint ist weiß ich noch nicht so richtig.... die meldungen treten aber in letzter zeit nur noch vereinzelt auf... aber ich werde sie trotzdem mal im Auge behalten....
Matzetronic
29.01.04, 15:53
hi,
du könntest ja mal diesen traffic mit tcpdump mitschneiden, entsprechende filter sind natürlich sinnvoll....
dann kannst du dir das ganze später genauer ansehen...
gruß,
matze
markwaldhoff
03.02.04, 05:45
krass !!!
alleine gestern hatte ich 800 von diesem "Incomplete RPC Segment" Meldungen.... und heute nacht hatte ich schon 700 !!!
Was ist los ??
So was hier:
[snort] (spp_rpc_decode) Incomplete RPC segment 2004-02-03 02:19:04 213.6.59.150:56156 82.140.53.17:111 TCP
und davon dann 700 Stück im Abstand von meistens nur 1 oder 2 Sekunden !!! Alle gehen von mir an diesen 82er Rechner zu Port 111 !!!
Die 213.6.59.150 ist in diesem Fall meine Adresse... wenn ich die Adresse Reverse Lookuppe kommt das hier raus:
17.53.140.82.sr1.DTM1.ip.versanet.de
Naja... da kann ich auch nicht soviel mit anfangen .... was könnte das sein ? Ist erst seid gestern..... und kommt mir schon was komisch vor....
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.