[Pluto-security] Snort alert
Fabio Panigatti
ml-panigatti at minerprint.it
Wed Apr 9 20:17:42 CEST 2003
> chiederanno come mai il firewall esce con porta sorgente "80" specifico
> che lo stesso fornisce anche funzionalita di proxy-reverse in copertura
> di 2 webserver.
Mica tanto bello. Non hai un'altra macchina per fare questo lavoro?
> [**] [1:159:3] BACKDOOR NetMetro File List [**]
> [Classification: Misc activity] [Priority: 3]
> 04/05-12:53:08.051104 10.0.1.1:80 -> 67.116.79.99:5032
> TCP TTL:64 TOS:0x0 ID:8930 IpLen:20 DgmLen:1237 DF
> ***AP*** Seq: 0xF4D0D6B7 Ack: 0x3CFD1F3F Win: 0x1920 TcpLen: 20
Probabilmente hai $EXTERNAL_NET=any. NetMetro e' una backdoor che
ascolta sulla 5032/tcp ma, in questo caso, quell'alert e' causato
dalla presenza della stringa "--" nel traffico (una pagina web??)
scaricato da 67.116.79.99 da uno dei tuoi server. Casualmente tra
tutte le porte effimere che il client poteva scegliere, e' andato
proprio a beccare quella di NetMetro, da cui il falso positivo. A
questo ha contribuito anche $EXTERNAL_NET=any (o qualcosa simile)
che ha fatto in modo che quella stringa venisse cercata anche nel
traffico uscente dalle tue macchine, e non solo in quello diretto
ad esse. Guarda la regola al sid:159 e capirai :-)
> [**] [1:498:2] ATTACK RESPONSES id check returned root [**]
> [Classification: Potentially Bad Traffic] [Priority: 2]
> 04/05-00:45:37.414489 205.206.231.27:56603 -> 10.0.2.5:25
> TCP TTL:45 TOS:0x0 ID:21785 IpLen:20 DgmLen:1500 DF
> ***A**** Seq: 0x72BDEC5C Ack: 0x8BD6EE3C Win: 0x16D0 TcpLen: 32
> TCP Options (3) => NOP NOP TS: 639730290 78351397
Vuole dire solo che nel traffico compariva la stringa uid=0(root).
Prova a vedere se nelle mail che ti sono arrivate ce n'e' qualcuna
che contiene quella stringa (capita spess oquando si e' iscritti a
mailing list sulal sicurezza ;-)).
Fabio
More information about the pluto-security
mailing list