Поднял snort с дефолтными рулесами, скачанными через oinkmaster. Параноидален до невозможности. Самым страшным злом считает base64 и почти в каждом входящем письме видит исполняемый код типа такого:SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90
Нет ли на просторах интернета вменяемого набора правил для защиты почтового релея не от мнимых, а от более-менее подлинных угроз?
>страшным злом считает base64 и почти в каждом входящем письме видит
>исполняемый код типа такого:
>
>SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90
>90 90 90 90 90
>
> Нет ли на просторах интернета вменяемого набора правил для защиты почтового
>релея не от мнимых, а от более-менее подлинных угроз?"Подлинность" угрозы - понятие более чем относительное. Систем, которые бы гарантированно отличали атаки от легального траффика, равно как и систем, которые бы отлавливали 100% спама, не существует. Весь вопрос в параноидальности конкретного админа в конкретной ситуации, а здесь каких-то "стандартных" правил быть не может.
Рекомендация в данном случае крайне простая - отключайте по одному правила, которые Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без этого никуда - потом всё войдёт в нормальную колею. Собственно, задача snort в том и состоит, чтобы трахать мозг админу :)
b.r.
>Рекомендация в данном случае крайне простая - отключайте по одному правила, которые
>Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без
>этого никуда - потом всё войдёт в нормальную колею. Собственно, задача
>snort в том и состоит, чтобы трахать мозг админу :)Оно как бы и понятно, но есть ощущение, что этот велосипед давно уже изобрели, и есть где-то устоявшаяся за годы практика скрещивания snort'а c smtp-сервером.
Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту.В дефолтном snort.conf есть параметр.
portvar portvar SHELLCODE_PORTS !80
Меняю на [0:24,26:79,81:65535].
Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
Однако алерты не прекращаются:
[**] [1:1394:9] SHELLCODE x86 NOOP [**]
[Classification: Executable code was detected] [Priority: 1]
02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
***AP*** Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20
Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTSalert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
Руками вбиваю эту переменную во все правила:
alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
Перезапускаю. Алерты все равно прут. Где и что я делаю не так?
Аналогично! парюсь уже несколько дней..делал
portvar SHELLCODE_PORTS !80 !25
и
portvar SHELLCODE_PORTS [!80,!25]и в правилах ставил исключение
alert ip $EXTERNAL_NET any -> $HOME_NET !25 (msg:"SHELLCODE x86 NOOP"; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
и всяко иначе.. один фиг не помогает
>[оверквотинг удален]
> В дефолтном snort.conf есть параметр.
> portvar portvar SHELLCODE_PORTS !80
> Меняю на [0:24,26:79,81:65535].
> Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.
> Однако алерты не прекращаются:
> [**] [1:1394:9] SHELLCODE x86 NOOP [**]
> [Classification: Executable code was detected] [Priority: 1]
> 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -> 81.xxx.xxx.xxx:25
> TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862
> ***AP*** Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20только что закончил с проблемой , редактирую файл в сторонней папке, потом копирую в системную, изменения работают, uac мозги е....
> Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS
> alert ip $EXTERNAL_NET any -> $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"|90
> 90 90 90 90 90 90 90 90 90 90 90
> 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
> Руками вбиваю эту переменную во все правила:
> alert ip $EXTERNAL_NET any -> $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:"|90
> 90 90 90 90 90 90 90 90 90 90 90
> 90 90|"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)
> Перезапускаю. Алерты все равно прут. Где и что я делаю не так?