PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : snort von Suse 7.1 und logfiles



Gorn
18.06.03, 09:08
Hi,

ich habe seit 2 Tage auf unserem Server neben Portsentry auf Snort 1.7 laufen.

Wenn ich mir nun die Loglifes ansehen werde ich blind. Das sind Massen an Dateien.
In denen im Prinzip von tausenden IPs immer die gleich Attack gemeldet wird:


[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20

[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20


usw.
Hier wird immer auf Port 80 ein IIS attack gemeldet. Port 80 ist unser Webserver... aber was ist ein "IIS Unicode attack"?

GoRn

wisnitom
19.06.03, 00:50
hi,

na wenn du den IIS einsetzt, dann immer gut patchen ...
da ballern massenweise Angriffsversuche auf dich ein .

In diesem Falle scheint es aber ein 'Problem' einer snort Regel
zu sein, die sich permanent meldet.

Schau mal hier:
http://www.luga.at/mailing-lists/luga/2001/07/msg00027.html

grüsse

P.S: du solltest Snort updaten - in den älteren Versionen gibt es Sicherheitslöcher

Windoofsklicker
19.06.03, 09:06
ich würde auch schleunigst auf snort 2.0 updaten.
siehe: hier (http://www.bsdforen.org/?nav=newss)