Ich bekomme in letzter Zeit ziemlich komische Snort Meldungen... weiß jemand was das bedeuten könnte ?

url[snort] BAD-TRAFFIC loopback traffic 2004-01-22 01:29:24 127.0.0.1:80 213.6.59.213:1984 TCP

Die 127.0.0.1:80 ist die Source-Adresse. (localhost)
Die 213.6.59.213:1984 ist die Destination Adresse


Ein anderer Eintrag:

[snort] (spp_rpc_decode) Incomplete RPC segment 2004-01-21 15:15:42 213.6.59.213:51345 212.204.7.113:111 TCP

Dieser Eintrag kommt sehr oft vor.. manchmal sehr schnell hintereinander....

BAD-TRAFFIC loopback traffic 2004-01-22 01:29:24 127.0.0.1:80 213.6.59.213:1984 TCP


Pakete die über das loopback Interface laufen sollten von 127.0.0.1 auf 127.0.0.1 gehen, alles andere ist ja kein Loopback. Das könnte zum Beispiel ein Rootkit sein dass dadurch dass es sich als "von loopback kommend" ausgibt versucht die Firewall zu umgehen - was bei einem schlechtem Firewallscript vielleicht möglich wäre (iptables -A -i l0 -j ACCEPT)



Incomplete RPC segment 2004-01-21 15:15:42 213.6.59.213:51345 212.204.7.113:111 TCP

RPC Exploits auf Windows Rechner?


mfg
cane

Das hatten wir schonmal, jedoch ohne wirkliche Lösung. Meiner ansicht nach liegt es am Provider. Falls dich der Thread interessiert.. hier: http://www.linuxforen.de/forums/showthread.php?s=&threadid=98669

-ready

Naja, die Hauptsache ist ja dass man es ganz einfach per Iptables unterbinden kann...

mfg
cane

Nein, da sein SNORT diese Meldung produziert. SNORT greift VOR den iptables Regeln.

HTH

Nein, da sein SNORT diese Meldung produziert. SNORT greift VOR den iptables Regeln.

Ich meinte, dass man es unterbinden kann wenn die Pakete durch den Iptables filter laufen - Snort ist ja ein IDS und kein IPS.

Die Logs tauchen natürlich trotzem auf...

Da habe ich mich ein wenig undeutlich ausgedrückt...

Aber wenn Iptables erst filtert und dann an Snort weiterleitet müßte es doch gehen (es gibt doch Snort Inline Scripts).

mfg
cane

Mal davon abgesehen, dass ich mich mit SNORT und inline Skripte nicht auskenne, halte ich es für ziemlich schlecht Pakete zu manipulieren und danach zu Scannen.

Wenn man Pakete mit gewissen Merkmalen nicht überprüfen will, sollte man dies auch nicht tun. :)

Nein ein RootKit wird es nicht sein.. habe ChkRootkit durchlaufen lassen und da wurde nichts gefunden...
ich denke das wird wahrscheinlich wirklich mit meinem Provider zusammenhängen....

Ich habe mir den Loopback Alert auch nochmal genauer angesehen... der geht von 127.0.0.1 auf meine externe Ip Adresse.... schon irgendwie komisch... aber keine Ahnung wie das kommen kann....

Was mit dem Incomplete RPC Segment gemeint ist weiß ich noch nicht so richtig.... die meldungen treten aber in letzter zeit nur noch vereinzelt auf... aber ich werde sie trotzdem mal im Auge behalten....

hi,

du könntest ja mal diesen traffic mit tcpdump mitschneiden, entsprechende filter sind natürlich sinnvoll....
dann kannst du dir das ganze später genauer ansehen...

gruß,
matze

krass !!!
alleine gestern hatte ich 800 von diesem "Incomplete RPC Segment" Meldungen.... und heute nacht hatte ich schon 700 !!!
Was ist los ??

So was hier:

[snort] (spp_rpc_decode) Incomplete RPC segment 2004-02-03 02:19:04 213.6.59.150:56156 82.140.53.17:111 TCP

und davon dann 700 Stück im Abstand von meistens nur 1 oder 2 Sekunden !!! Alle gehen von mir an diesen 82er Rechner zu Port 111 !!!
Die 213.6.59.150 ist in diesem Fall meine Adresse... wenn ich die Adresse Reverse Lookuppe kommt das hier raus:

17.53.140.82.sr1.DTM1.ip.versanet.de
Naja... da kann ich auch nicht soviel mit anfangen .... was könnte das sein ? Ist erst seid gestern..... und kommt mir schon was komisch vor....