[Pluto-security] Snort alert

Beppe beppebz at tin.it
Thu Apr 10 22:11:55 CEST 2003


Ciao!

On Wed, 2003-04-09 at 19:17, Fabio Panigatti wrote:
> > chiederanno come mai il firewall esce con porta sorgente "80" specifico
> > che lo stesso fornisce anche funzionalita di proxy-reverse in copertura
> > di 2 webserver.
> 
> Mica tanto bello. Non hai un'altra macchina per fare questo lavoro?

hemmm... a dir la verita no, o almeno per il momento. Ad ogni modo cerco
di tenere la cosa sempre sotto controllo, applico regolarmente le patch
e controllo minuziosamente i log, non sarà di certo la migliore delle
cose ma cerco di fare il possibile.
 
<...snip...>

> Probabilmente hai $EXTERNAL_NET=any. 

Esattamente. Pensi che sia meglio indicare qualcosa tipo:
= ! HOME_NET

NetMetro e' una backdoor che 
> ascolta sulla 5032/tcp ma, in questo caso, quell'alert e' causato
> dalla presenza della stringa "--" nel traffico (una pagina web??)
> scaricato da 67.116.79.99 da uno dei tuoi server. Casualmente tra
> tutte le porte effimere che il client poteva scegliere, e' andato
> proprio a beccare quella di NetMetro, da cui il falso positivo. A
> questo ha contribuito anche $EXTERNAL_NET=any (o qualcosa simile)
> che ha fatto in modo che quella stringa venisse cercata anche nel
> traffico uscente dalle tue macchine, e non solo in quello diretto
> ad esse.

Bene.. questo già mi fa stare piu' tranquillo; sai trovarsi con il
dubbio di avere il firewall bucato non è cosa che fa dormire sonni
tranquilli ;o) ... per fortuna si è trattato di un falso allarme!

> Guarda la regola al sid:159 e capirai :-)

Gia aggiunto nel diario delle "COSE DA FARE " (8D

<...snip...>

> Vuole dire solo che nel traffico compariva la stringa uid=0(root).
> Prova a vedere se nelle mail che ti sono arrivate ce n'e' qualcuna
> che contiene quella stringa (capita spess oquando si e' iscritti a
> mailing list sulal sicurezza ;-)).

... ottima idea, controllo! ad ogni modo se mi dici così posso già immaginare cosa possa essere:
"bugtraq"

> Fabio

Ciao e Grazie 
Beppe
 _______________________________________________
> pluto-security mailing list
> pluto-security at lists.pluto.linux.it
> http://lists.pluto.linux.it/mailman/listinfo/pluto-security




More information about the pluto-security mailing list