Hi,

habe diese Meldung bekommen:


Nov 14 08:38:32 localhost snort[22148]: [1:3817:2] TFTP GET transfer mode overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]: {UDP} 85.126.111.xxx:53 -> 86.59.84.xxx:69Was genau bedeutet das bzw. was passierte da?
Irgendwie schaut das so aus als ob mein Server irgendetwas mit DNS udn TFTP zutun hat.
DNS läuft auf meinem, aber mit TFTP hat der nix zutun. Der Sourceport scheint wohl dns zu sein und geht auf tftp, das verstehe ich nicht.

Thx
Timm

Schau mal nach ob Dein Snort binary logging macht, dann extrahier das entsprechende Packet.
Und schau mal hier nach ob das fuer dich zutrifft:

http://www.snort.org/pub-bin/sigs.cgi?sid=3817

Gruss
403

Hi 403,

das würde doch bedeuten das mein Server einen Exploit drauf hat welcher den Fremdrechner "untersucht"?

Grüße
Timm

Schau erstmal nach ob es nicht einfach ein False Positive ist. Dann sieh nach ob die entsprechende Software aus der Doku auf Deinem Server installiert ist.

Und ja im schlimmsten Fall 'probiert' jemand TFTP Exploits auf Deinem Server aus,
die von Snort idealerweise (flex-resp) geblockt werden.

Mehr kann man erst anhand des Pakets(und/oder weiterem STFW) sagen.

Gruss
403

Hi 403,

bin leider Anfänger mit Snort.
Wie kann ich nachschauen ob es False/Positive ist?
Die Software ist nicht auf dem Rechner installiert, zumindest ist mir nichts bekannt.

Grüße
Timm