PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Snort 1.9.0



Windoofsklicker
28.02.03, 10:52
hi forum.

ich habe snort 1.9.0 installiert.
obwohl ich die pop3.rules usw. auskommentiert habe, meldet snort jedesmal, wenn ich mails abrufe:

Anwendungspopup: Nachrichtendienst : Nachricht von Snort an [RECHNER] am

[**] POP3 USER overflow attempt [**] [Classification: Attempted Administrator Privilege Gain] [Priority: 1]:[UHRZEIT usw] [mailclient ip] -> [mailserver ip]

ich habe mal die rules nach pop durchsucht und nur was in pop3.rules gefunden.
wo kann das noch 'drin stehen?

HangLoose
28.02.03, 11:01
hast du schon mal die exploid.rules durchgesehen?

Windoofsklicker
28.02.03, 11:08
ich habe im rules verzeichnis grep *.rules -e POP3 ausgeführt.
da wurde nur pop3.rules ausgegeben. deswegen bin ich ja so ratlos. :confused:

edit: in den exploid.rules steht auch nix.

HangLoose
28.02.03, 11:25
nutzt du eigentlich acid? wenn ja, hast du dort ja die möglichkeit auf den link von snort klicken und dir wird dann auf snort.org die rule angezeigt, die für die entsprechende meldung zuständig ist.

vielleicht bist du damit bei der suche ja erfolgreicher.

Windoofsklicker
28.02.03, 13:32
nein, leider nicht. ich lasse mir smbalerts anzeigen.

tomes
28.02.03, 19:36
1. snort nach dem auskommentieren neu gestartet ?
2. Schon mal versucht die Regel direkt auszukommentieren ? ( in pop3.rules) Man muss ja nicht immer alles *tod* legen ;)
3. Vielleicht in der "Falschen" snort.conf gearbeitet ?

T;o)Mes

HangLoose
28.02.03, 19:40
@tomes


2. Schon mal versucht die Regel direkt auszukommentieren ? ( in pop3.rules) Man muss ja nicht immer alles *tod* legen ;)

so hab ich das früher immer gemacht :D steht glaub ich sogar noch so in meinem HowTo.



Gruß HL

Windoofsklicker
03.03.03, 17:20
@tomes

jau... snort wurde danach neu gestartet. sogar der rechner, da ich dem problem bereits länger auf der spur bin.
die richtige snort.conf ist es auch. die gebe ich beim start explizit mit an, da ich vor habe snort auf mehreren interfaces laufen zu lassen.

tomes
03.03.03, 19:20
bei den snort's die ich betreue kommt so etwas nicht vor.
auskommentiert ist auskommentiert :confused:
Hast du mal versucht die Regel direkt auszukommentieren ? Also in der pop3.rules ein # vor die besagte Regel.
Ausserdem, koenntest du die Regel abaendern.


alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:"POP3 USER overflow attempt"; flow:to_server,established; dsize:>500; content:"USER "; nocase; reference:cve,CVE-1999
-0494; reference:nessus,10311; classtype:attempted-admin; sid:1866; rev:2;)

so sieht die Regel im orginal aus.
Eine neue Variable in die snort.conf einfuegen --> var POP3_SERVERS xxx.xxx.xxx.xxx
und dann die Regel wie folgt abaendern:


alert tcp !$POP3_SERVERS any -> $HOME_NET 110 (msg:"POP3 USER overflow attempt"; flow:to_server,established; dsize:>500; content:"USER "; nocase; reference:cve,CVE-1999
-0494; reference:nessus,10311; classtype:attempted-admin; sid:1866; rev:2;)

Was nicht anderes bedeutet, als melde alles, ausser was von $POP3_SERVERS kommt und nach $HOME_NET geht
Hat zwar nichts dirkt mit deinem *prob* zu tun, konnte aber die besagten Meldungen unterbinden und ausserdem die funKtionaliteat des IDS aufrecht erhalten.

T;o)Mes

P.S.: vielleicht versucht du es mal in der Mailinglist von snort.org, da hat man mir auch schon so manchesmal geholfen.
Falls mir noch etwas einfaellt, melde ich mich