Re: Problemi con Snort

> A volte capita questo, ed e' quello che voglio. A volta invece
> arriva la pagina WEB, che mi informa che /scripts/cmd.exe non esiste.

Prova a fare la stessa cosa registrando il traffico con tcpdump
o ethereal (o il tuo preferito), in modo da poter valutare cosa
succede sulla rete.
La prima cosa che mi viene in mente e' che l' RST venga inviato
troppo tardi, quando la connessione e' gia' chiusa.

> Ecco come ho configurato il FLEX_RESP:
>
> var RESP_TCP resp:rst_all,icmp_all

Immagino che tu abbia poi aggiunto RESP_TCP alla regola standard
che rileva CodeRed v2 (quella con sid:1256), che diventa cosi':

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80
   (RESP_TCP;
    msg:"WEB-IIS CodeRed v2 root.exe access";
    flags: A+;
    uricontent:"scripts/root.exe?";
    nocase;
    classtype:web-application-attack;
    sid:1256;
    rev:2;)

(sono andato a capo per migliorare la leggibilita')

Lo stesso avrai fatto con le altre regole di snort che rilevano,
o cercano di rilevare, i worm per IIS, giusto?

In questo caso puoi provare a sostituire l'azione alert con pass
che viene elaborata piu' velocemente, visto che non deve loggare
niente. Se il problema e' effettivamente un ritardo di emissione
dell'RST questo potrebbe aiutare. Puoi anche provare a togliere,
se non hai motivi ben precisi per farlo, imp_all.

Considera che queste regole standard di snort sono (IMHO) un po'
troppo generiche per essere usate con FLEX_RESP: cosi' come sono
rischi di chiudere anche connessioni legittime.
Se guardi i file di log del tuo server web, inoltre, noterai che
sono anche insufficienti se vuoi essere sicuro di chiudere tutte
le connessioni.
Dovrai crearne di nuove cercando anche le altre stringhe tipiche
in uricontent.

Ricorda, inoltre, che flex_resp non è ancora stabile.

Sappici dire i risultati di tcpdump.

Ciao


Fabio

[1] In particolare la 1256 non dovrebbe darti problemi; altre si.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List