Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-06-05 18:18:03
kondzio14 - 
Użytkownik
- kondzio14
- Użytkownik
- Zarejestrowany: 2008-02-14
Zlecenie: analiza wyników Snorta
Komputer ze Snortem stał pewien czas (ok 8 dni) w sieci komputerowej przed firewallem. Wyniki pracy rejestrował do bazy MySQL w ramach ACID (acidbase). Potrzebuję kogoś kto mi je w miarę sensownie opisze. Oczywiście w pełni można podpierać wiedzą o Google (dla sprytnych przepisywanie tekstu z ang na pl :)). Jako, że zlecenie to za opłatą. Chętnych proszę o kontakt tutaj bądź na PW.
PS. Oczywiście nie chodzi o opis całości badań, tylko wybranych, ciekawszych momentów.
Offline
#2 2011-06-05 19:12:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Zlecenie: analiza wyników Snorta
Snorta trzymaj za firewallem, to nie będziesz miał problemów.
Bo w internecie jest tyle śmiecia, różnych przeadresowanych i zwalonych pakietów, spory ruch wirusów i innych robaków, które szukają ofiar, że można w tym utonąć.
W dodatku 99% danych w bazie masz bezwartościowych.
W dodatku, jeśli włączyłeś wszystkie zestawy reguł Snorta, to masz też sporo fałszywych ataków, dotyczących usług, których w ogóle nie masz w sieci.
Snorta najlepiej spiąć ze Snortsamem lub Guardianem, żeby blokował połączenia,wtedy się przynajmniej na coś przyda - będzie działał jako IPS.
Może też np logować podejrzaną aktywność wewnątrz sieci lokalnej, wykrywając maszyny zainfekowane robakiem sieciowym.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:08)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2011-06-05 19:16:25
kondzio14 - Użytkownik
- kondzio14
- Użytkownik
- Zarejestrowany: 2008-02-14
Re: Zlecenie: analiza wyników Snorta
Czy są fałszywe, czy nie, nie ma to w tej chwili znaczenia, ale w pełni popieram treść Twojego poprzedniego posta.
Zarejestrowano 63 różnych alertów, mogę je udostępnić...
[b]Jacekalex[/b] może zechcesz opisać kilka wybranych?
Ostatnio edytowany przez kondzio14 (2011-06-06 06:54:58)
Offline
#4 2011-06-05 20:11:13
Bodzio - Ojciec Założyciel
Re: Zlecenie: analiza wyników Snorta
Przeniosłem, bo to nie ogłoszenie
Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]
Offline
#5 2011-06-05 20:52:46
azhag - Admin łajza
- azhag
- Admin łajza
- Skąd: Warszawa
- Zarejestrowany: 2005-11-15
Re: Zlecenie: analiza wyników Snorta
[quote=Bodzio]Przeniosłem, bo to nie ogłoszenie[/quote]
Przenoszę na nowo, bo to jest ogłoszenie — zlecenie wykonania zadania.
Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712
Offline
#6 2011-06-05 21:17:17
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Zlecenie: analiza wyników Snorta
Odpal sobie [url=http://base.secureideas.net/][b]Base[/b][/url] do Snorta, i ta, o ile pamiętam, przy każdym alercie będzie link do strony opisującej dane zagrożenie ,o ile pamiętam, bo snorta nie używam od jakiegoś czasu inaczej, jak IPS z Guardianem, w logi nie zaglądam, o ile wszystko działa jak należy.
A to widzę po adresach dorzucanych do fw.
Edyta:
Zamień zlecenie na czytanie ze zrozumieniem:
[b]# alert tcp $EXTERNAL_NET any -> $HOME_NET 20034 (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection request"; flow:to_server,established; content:"BN |00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; flowbits:set,backdoor.netbus_2.connect; flowbits:noalert; classtype:misc-activity; sid:3009; rev:4;)
[b]# alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:trojan-activity; sid:115; rev:12;)[/quote]
To kawałek backdoor.rules.
Przy każdej regule jest komentarz z nazwą np [url=https://encrypted.google.com/#hl=pl&source=hp&q=NetBus+Pro+2.0+&btnG=Szukaj+w+Google&aq=f&aqi=&aql=&oq=&bav=on.2,or.r_gc.r_pw.&fp=d604dbe9e5f57299&biw=1024&bih=561]NetBus Pro 2.0[/url]
To by było na tyle
;-)Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:55)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2011-06-06 06:50:23
kondzio14 - Użytkownik
- kondzio14
- Użytkownik
- Zarejestrowany: 2008-02-14
Re: Zlecenie: analiza wyników Snorta
Ok, już sobie poradziłem, Nie obawiałem się tego, tylko lenistwo się odezwało - wiem, zły podpowiadacz :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00093 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.212.119' WHERE u.id=1 |
| 0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.212.119', 1732386146) |
| 0.00045 | SELECT * FROM punbb_online WHERE logged<1732385846 |
| 0.00065 | DELETE FROM punbb_online WHERE ident='3.145.72.44' |
| 0.00067 | SELECT topic_id FROM punbb_posts WHERE id=174683 |
| 0.00007 | SELECT id FROM punbb_posts WHERE topic_id=19104 ORDER BY posted |
| 0.00075 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19104 AND t.moved_to IS NULL |
| 0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00168 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19104 ORDER BY p.id LIMIT 0,25 |
| 0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19104 |
| Total query time: 0.00698 s | |