forum.opennet.ru

Составление сообщения

Исходное сообщение

"snort и smtp-сервер"
Отправлено Gaidamak, 09-Фев-09 21:33

Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту.
В дефолтном snort.conf есть параметр.
portvar portvar SHELLCODE_PORTS !80
Меняю на [0:24,26:79,81:65535].
Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
Однако алерты не прекращаются:

[**] [1:1394:9] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
***AP*** Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20

Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS
alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
Руками вбиваю эту переменную во все правила:
alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
Перезапускаю. Алерты все равно прут. Где и что я делаю не так?

Исходное сообщение
"snort и smtp-сервер" Отправлено Gaidamak, 09-Фев-09 21:33
Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту. В дефолтном snort.conf есть параметр. portvar portvar SHELLCODE_PORTS !80 Меняю на [0:24,26:79,81:65535]. Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо. Однако алерты не прекращаются: [] [1:1394:9] SHELLCODE x86 NOOP [] [Classification: Executable code was detected] [Priority: 1] 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862 *AP* Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20 Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"\|90 90 90 90 90 90 90 90 90 90 90 90 90 90\|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) Руками вбиваю эту переменную во все правила: alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"\|90 90 90 90 90 90 90 90 90 90 90 90 90 90\|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) Перезапускаю. Алерты все равно прут. Где и что я делаю не так?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на > 25 порту. > В дефолтном snort.conf есть параметр. > portvar portvar SHELLCODE_PORTS !80 > Меняю на [0:24,26:79,81:65535]. > Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо. > Однако алерты не прекращаются: > [] [1:1394:9] SHELLCODE x86 NOOP [] > [Classification: Executable code was detected] [Priority: 1] > 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25 > TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862 > *AP* Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20 > Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS > alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"\|90 > 90 90 90 90 90 90 90 90 90 90 90 > 90 90\|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) > Руками вбиваю эту переменную во все правила: > alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"\|90 > 90 90 90 90 90 90 90 90 90 90 90 > 90 90\|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) > Перезапускаю. Алерты все равно прут. Где и что я делаю не так?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру