Hi
ich versuche mich gerade mit snort zu befassen. Eigentlich wollte ich nur mal auf die Schnelle schauen, ob irgendwo im Netzwerk Conficker A/B unterwegs sind. Dazu habe ich einen dedizierten PC mit Gigabit am Monitorport des zentralen Switches hängen. Kann mir irgendjemand einen groben Hinweis darauf geben, wie ich weitermachen muß? Die Google-Suche nach snort und conficker bringt haufenweise Treffer, die irgendwelche Pattern erklären, aber nicht, wie das mit snort zusammenarbeiten soll.
Ich kann auch einzelne PC mit NMAP prüfen, aber das ist eine Momentaufnahme und irgendwie ziemlich unbefriedigend.
Hat jemand einen guten Rat oder einen hilfreichen Link?

Danke
mamue

Hi, du könntest alle Snort Regeln ausschalten und nur die Conficker Signaturen verwenden.
Ob Du mit nmap scannst oder dauerhaft snort im Hintergrund laufen lässt musste selber entscheiden. Ansonsten kann ich noch das Dokument "Writing snort rules" empfehlen.

Und nochwas, da es verschiedene Varianten gibt, muessen die Regeln regelmässig geprüft werden, ggf. geupdatet werden.

Ich halte, wenn Du snort für nichts anderes einsetzen willst, allein um Conficker zu entdecken für Overkill und würde das via Cron machen.

Guten Abend :)

403

UPDATE: gleich der erste google Treffer liefert bereits Signaturen:
http://www.honeynet.org/node/388

Die Google-Suche nach snort und conficker bringt haufenweise Treffer, die irgendwelche Pattern erklären, aber nicht, wie das mit snort zusammenarbeiten soll.

Die Pattern hatte ich gefunden. Gibt es irgendwo einen Hinweis darauf, wie mit den Pattern danach zu verfahren ist?
So'n bisschen snort gibt es scheinbar nicht. Entweder durch mindestens 500 Manual-Seiten lesen oder ganz und gar sein lassen, richtig?

Danke
mamue

Naja, ich an deiner Stelle würde mal auf dem Dateisystem suchen ;-)

Cheers,
403

Wenn du Zugriff auf den Win PC hast: bei der C't 8/11 war wieder eine Disinfec't CD dabei... da Conficker bekannt ist wird die ihn bestimmt finden...

Kannst das Heft ja nachbestellen ...

Ähm?
Conficker auf einem PC zu suchen ist trivial. Mich interessiert, ob noch andere PC von denen etliche nicht von mir gewartet werden, eventuell Quell dieses Übels sein könnten. Wenn ich die IP habe, weiß ich, wem der gehört. Das Netz hier hat 200 PC, aber dazu kommen halt noch jede Menge von Privat hereingeschleppte Geräte.
Also gut, ich werde mich mit snort ernsthaft befassen, wenn ich Zeit habe. Das wird noch etliche Monate dauern und bis dahin muss das halt ruhen.

Danke
mamue

OK. Sorry für die Trivialität ;-)

Ich bin beim Surfen mal über eine Klickie- Linuxinstallation mit GUI für Snort gestolpert in der angeblich die Signaturen vieler Schädlinge fertig drin waren... für Newbies wie mich.. war ein von US Diensten gesponsertes Open Source Projekt.. habe die Seite allerdings nicht mehr wieder gefunden..

Moin,

also suche nach Dateien mit der Endung *.rules in /etc/snort oder /usr/local/etc/snort. (das war mit Dateisystem gemeint)

Dort suchst du local.rules und fuegst mit dem Editor deiner Wahl die Conficker Rules hinzu. Anschliessend ein snort -c /pfad/zur/config -T um die Config zu pruefen.

Wenn keine Syntax Fehler kommen, kannst Du snort ganz normal starten.
Natuerlich moechtest Du die Dokumentation lesen um z.B. Deine Snort Regeln
aktuell zu halten und/oder ein geeignetes Logging zu konfigurieren.

Cheers,
403

@403: Danke!