Nachschlagen von Snort IP`s



  • Hallo alle

    Ich nutze in meiner pfSense seit Jahren das Snort Paket als Private Person in der OinkCode variante, und bin sehr zufrieden damit da ich seither nahe zu keine Probleme mit ungebetenen gästen habe.

    Ich möchte fragen ob jemand Quellen angeben kann wenn man Logeinträge wie

    1 TCP A Network Trojan was Detected 90.75.184.113
    62760 100.100.100.10
    80 1:2018131
    ET WORM TheMoon.linksys.router 1

    in seinem Log findet, besser verstehen kann.
    Mich interessiert insebsondere die Bedeutung der SID 1:2018131.

    unter anderem taucht auch auf 1:71074 suche ich dann unter

    https://www.snort.org/search?query=1%3A71074&submit_search=

    Erhalte ich leider keine Ergebnisse welche mich erleuchten zurück daher strauchle ich bei der Interpretation.

    Würde mich freuen auf eine entsprechendes Feedback, fehlen weitere Informationen ? würde ich auch gerne nachliefern.

    Grüße



  • @megazocker said in Nachschlagen von Snort IP`s:

    SID 1:2018131

    Hi, ja damit kämpfe ich auch ab und zu einmal. Aber i.d.R. ist der Ansatz die SID, wie in deinem Fall dieser Link:
    https://doc.emergingthreats.net/bin/view/Main/2018131

    Darin findest du folgende Infos:

    alert http any any -> $HOME_NET 8080 (msg:"ET WORM TheMoon?.linksys.router 1"; flow:established; urilen:7; content:"GET"; http_method; content:"/HNAP1/"; http_uri; pcre:"/^(?:[0-9]{1,3}\.){3}[0-9]{1,3}$/W"; reference:url,isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630; classtype:trojan-activity; sid:2018131; rev:5; metadata:created_at 2014_02_13, updated_at 2014_02_13;) 
    

    Dort wiederum gibt es einen weiteren Link: isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630
    Ist nicht gleich ersichtlich aber lesbar. Wenn du dies in deinem Browser angibst findest du manchmal auch etwas verständliches warum es so ist wie es ist:
    https://isc.sans.edu/forums/diary/Linksys+Worm+TheMoon+Captured/17630

    Ist aber oft schwierig dort etwas für sich plausibles herauszuholen, oft gibt es auch nichts was einem selbst schlüssig erscheint. Aber was auch gut ist, ist das Buch Snort, Acid & Co. mit der ISBN: 3-937514-03-1

    VG



  • Hallo erstaml und danke für dein Feedback

    OK

    Diese Seite kannte ich noch nicht, ausgelöst hat meine Unzufriedenheit das ich zu dem Eintrag mit der SID

    1:71074 Microsoft
    oder
    1:71017 Samsung
    oder auch
    1:71881 Cisco

    nichts finden konnte was mich erhellt.

    Den Schmöker habe ich bei Amazon bestellt, mit AcidBase und Snort hatte ich mal meine ersten Gehversuche um ins Netz zu lauschen was sich so tut ... nun ja lange her und fand ich so auch nicht lustig was ich damals bereits so sehen konnte.

    Wie du schreibst recht schwer was da zu verwerten.

    gefunden habe ich aber noch
    http://www.security-database.com/
    über folgende Info bin ich auch gestolpert.

    Ich muss mal schaun ob ich irgendwann mal Zeit finde da etwas tiefer rein zu gehen.

    Mercini und viel Erfolg noch


Log in to reply