Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Komputer ze Snortem stał pewien czas (ok 8 dni) w sieci komputerowej przed firewallem. Wyniki pracy rejestrował do bazy MySQL w ramach ACID (acidbase). Potrzebuję kogoś kto mi je w miarę sensownie opisze. Oczywiście w pełni można podpierać wiedzą o Google (dla sprytnych przepisywanie tekstu z ang na pl :)). Jako, że zlecenie to za opłatą. Chętnych proszę o kontakt tutaj bądź na PW.
PS. Oczywiście nie chodzi o opis całości badań, tylko wybranych, ciekawszych momentów.
Offline
Snorta trzymaj za firewallem, to nie będziesz miał problemów.
Bo w internecie jest tyle śmiecia, różnych przeadresowanych i zwalonych pakietów, spory ruch wirusów i innych robaków, które szukają ofiar, że można w tym utonąć.
W dodatku 99% danych w bazie masz bezwartościowych.
W dodatku, jeśli włączyłeś wszystkie zestawy reguł Snorta, to masz też sporo fałszywych ataków, dotyczących usług, których w ogóle nie masz w sieci.
Snorta najlepiej spiąć ze Snortsamem lub Guardianem, żeby blokował połączenia,wtedy się przynajmniej na coś przyda - będzie działał jako IPS.
Może też np logować podejrzaną aktywność wewnątrz sieci lokalnej, wykrywając maszyny zainfekowane robakiem sieciowym.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:08)
Offline
Czy są fałszywe, czy nie, nie ma to w tej chwili znaczenia, ale w pełni popieram treść Twojego poprzedniego posta.
Zarejestrowano 63 różnych alertów, mogę je udostępnić...
[b]Jacekalex[/b] może zechcesz opisać kilka wybranych?
Ostatnio edytowany przez kondzio14 (2011-06-06 06:54:58)
Offline
Przeniosłem, bo to nie ogłoszenie
Offline
[quote=Bodzio]Przeniosłem, bo to nie ogłoszenie[/quote]
Przenoszę na nowo, bo to jest ogłoszenie — zlecenie wykonania zadania.
Offline
Odpal sobie [url=http://base.secureideas.net/][b]Base[/b][/url] do Snorta, i ta, o ile pamiętam, przy każdym alercie będzie link do strony opisującej dane zagrożenie ,o ile pamiętam, bo snorta nie używam od jakiegoś czasu inaczej, jak IPS z Guardianem, w logi nie zaglądam, o ile wszystko działa jak należy.
A to widzę po adresach dorzucanych do fw.
Edyta:
Zamień zlecenie na czytanie ze zrozumieniem:
[b]# alert tcp $EXTERNAL_NET any -> $HOME_NET 20034 (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection request"; flow:to_server,established; content:"BN |00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; flowbits:set,backdoor.netbus_2.connect; flowbits:noalert; classtype:misc-activity; sid:3009; rev:4;)
[b]# alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:trojan-activity; sid:115; rev:12;)[/quote]
To kawałek backdoor.rules.
Przy każdej regule jest komentarz z nazwą np [url=https://encrypted.google.com/#hl=pl&source=hp&q=NetBus+Pro+2.0+&btnG=Szukaj+w+Google&aq=f&aqi=&aql=&oq=&bav=on.2,or.r_gc.r_pw.&fp=d604dbe9e5f57299&biw=1024&bih=561]NetBus Pro 2.0[/url]
To by było na tyle
;-)Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:55)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Ok, już sobie poradziłem, Nie obawiałem się tego, tylko lenistwo się odezwało - wiem, zły podpowiadacz :)
Offline
Time (s) | Query |
---|---|
0.00007 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00045 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.123.162' WHERE u.id=1 |
0.00096 | UPDATE punbb_online SET logged=1732373759 WHERE ident='3.133.123.162' |
0.00039 | SELECT * FROM punbb_online WHERE logged<1732373459 |
0.00042 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19104 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00161 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19104 ORDER BY p.id LIMIT 0,25 |
0.00077 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19104 |
Total query time: 0.00476 s |