Re: Executable code was detected

> > [**] [1:1390:2] SHELLCODE x86 inc ebx NOOP [**]
> > [Classification: Executable code was detected] [Priority: 1]
> > 11/05-12:14:41.445291 xxx.xxx.xxx.xxx:80 -> xxx.xxx.xxx.xxx:1344
> > TCP TTL:54 TOS:0x0 ID:25154 IpLen:20 DgmLen:1500 DF
> > ***A**** Seq: 0xF880B32  Ack: 0xC9F1F3BA  Win: 0x7D78  TcpLen: 20

> Uno dei (vari) grossi limiti di snort (e di altri ids) e' che non 
> segue il flow del traffico, si limita ad analizzare i singoli pacchetti, 
> per cui questo genere di (probabili) falsi positivi e' piuttosto comune, 
> soprattutto quando scarichi eseguibili/binari/archivi compressi & co.

Non capisco cosa intendi dire e come la cosa sia correlata all'alert
in questione. Nel senso che snort riassembla i flussi tcp (usando il
plugin stream4 con varie opzioni) e puo' separare le conversazioni e
quindi non soffre delle limitazioni di cui parli (o ho capito male a
cosa ti stavi riferendo?). Quello che non capisco bene, comunque, e'
come la presenza (o mancanza) di una analisi del flusso del traffico
possa portare a una diversa interpretazione di questo alert.
Tra l'altro, questo falso positivo non mi sembra poi cosi' frequente 
(la mia non e' una casistica molto ampia, pero').

Per salvatore: la prossima volta dovresti indicare a quale indirizzo
'sanitizzato' corrisponde la tua macchina altrimenti potrebbe essere
difficile interpretare correttamente l'alert. Stavolta sembra chiaro
(se non hai cambiato il ttl di default del server che esegue iis) ma
in altri casi potrebbe non esserlo. Io penso che la cosa da fare sia
verificare chi ha usato il server per 'navigare' a quell'ora di quel
giorno e vedere dove e' andato e cosa ha scaricato, oltre a dare una
occhiata a cosa c'e' su xxx.xxx.xxx.xxx:80. In base ai risultati non
sara' difficile capire cosa e' successo.


Fabio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List