Nachschlagen von Snort IP`s



  • Hallo alle

    Ich nutze in meiner pfSense seit Jahren das Snort Paket als Private Person in der OinkCode variante, und bin sehr zufrieden damit da ich seither nahe zu keine Probleme mit ungebetenen gästen habe.

    Ich möchte fragen ob jemand Quellen angeben kann wenn man Logeinträge wie

    1 TCP A Network Trojan was Detected 90.75.184.113
    62760 100.100.100.10
    80 1:2018131
    ET WORM TheMoon.linksys.router 1

    in seinem Log findet, besser verstehen kann.
    Mich interessiert insebsondere die Bedeutung der SID 1:2018131.

    unter anderem taucht auch auf 1:71074 suche ich dann unter

    https://www.snort.org/search?query=1%3A71074&submit_search=

    Erhalte ich leider keine Ergebnisse welche mich erleuchten zurück daher strauchle ich bei der Interpretation.

    Würde mich freuen auf eine entsprechendes Feedback, fehlen weitere Informationen ? würde ich auch gerne nachliefern.

    Grüße



  • @megazocker said in Nachschlagen von Snort IP`s:

    SID 1:2018131

    Hi, ja damit kämpfe ich auch ab und zu einmal. Aber i.d.R. ist der Ansatz die SID, wie in deinem Fall dieser Link:
    https://doc.emergingthreats.net/bin/view/Main/2018131

    Darin findest du folgende Infos:

    alert http any any -> $HOME_NET 8080 (msg:"ET WORM TheMoon?.linksys.router 1"; flow:established; urilen:7; content:"GET"; http_method; content:"/HNAP1/"; http_uri; pcre:"/^(?:[0-9]{1,3}\.){3}[0-9]{1,3}$/W"; reference:url,isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630; classtype:trojan-activity; sid:2018131; rev:5; metadata:created_at 2014_02_13, updated_at 2014_02_13;) 
    

    Dort wiederum gibt es einen weiteren Link: isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630
    Ist nicht gleich ersichtlich aber lesbar. Wenn du dies in deinem Browser angibst findest du manchmal auch etwas verständliches warum es so ist wie es ist:
    https://isc.sans.edu/forums/diary/Linksys+Worm+TheMoon+Captured/17630

    Ist aber oft schwierig dort etwas für sich plausibles herauszuholen, oft gibt es auch nichts was einem selbst schlüssig erscheint. Aber was auch gut ist, ist das Buch Snort, Acid & Co. mit der ISBN: 3-937514-03-1

    VG



  • Hallo erstaml und danke für dein Feedback

    OK

    Diese Seite kannte ich noch nicht, ausgelöst hat meine Unzufriedenheit das ich zu dem Eintrag mit der SID

    1:71074 Microsoft
    oder
    1:71017 Samsung
    oder auch
    1:71881 Cisco

    nichts finden konnte was mich erhellt.

    Den Schmöker habe ich bei Amazon bestellt, mit AcidBase und Snort hatte ich mal meine ersten Gehversuche um ins Netz zu lauschen was sich so tut ... nun ja lange her und fand ich so auch nicht lustig was ich damals bereits so sehen konnte.

    Wie du schreibst recht schwer was da zu verwerten.

    gefunden habe ich aber noch
    http://www.security-database.com/
    über folgende Info bin ich auch gestolpert.

    Ich muss mal schaun ob ich irgendwann mal Zeit finde da etwas tiefer rein zu gehen.

    Mercini und viel Erfolg noch


  • LAYER 8 Moderator

    @megazocker Darf ich mal ganz unbedarft fragen: Nutzt du das im Heimbetrieb (wegen deiner Signatur)? Und hast du daheim viele Dienste die du anbietest ins Internet?



  • Hallo JeGr "Großmeister" :)

    Ich nutze das zuhause und halte mir wegen div. Diensten die ich zuhause laufen habe und, unbedarfter Heimnutzer, den Ärger seit unserer gemeinsamen Zeit bei Ci.....21 vom Hals. 30 €/Jahr sind mir da nicht zuviel und ich bin froh das zu tun.

    Erstaunlich was da alles sich so tummelt.
    Aktuell
    ET WORM TheMoon.linksys.router 1
    ET EXPLOIT D-Link DSL-2750B - OS Command Injection SERVER-WEBAPP D-Link DSL-2750B routers login.cgi command injection attempt
    ET WEB_SERVER ThinkPHP RCE Exploitation Attempt
    ET WEB_SPECIFIC_APPS Plone and Zope cmd Parameter Remote Command Execution Attempt

    Da wurde ich schon damals sehr nachdenklich und hab die damit verbundene Arbeit nie bereut.
    Beruflich wird das als Community Variante kommen .... ist aber schweres Thema und hat im Forum nix zu suchen ;)

    Die Alles gute ... wenn du mehr willst ... immer ; )


  • LAYER 8 Moderator

    @megazocker said in Nachschlagen von Snort IP`s:

    Hallo JeGr "Großmeister" :)

    Ich bin nur User, der die Klappe nicht gehalten hat und deshalb hier putzen muss ⛓

    @megazocker said in Nachschlagen von Snort IP`s:

    wegen div. Diensten die ich zuhause laufen habe

    OK und die Dienste sind damit wohl potentiell eher nicht geeignet, sie hinter ein VPN zu packen? Just askin'

    Erstaunlich was da alles sich so tummelt.

    Nuja, Lärm gibt es immer. Nur kommt es an der Stelle ja recht simpel darauf an, ob ich das ggf. überhaupt offen lassen muss - dann sind mir die Attacken selbst ja relativ egal ;) Aber wenn die Ports offen sein sollen/müssen - verständlich.

    Beruflich wird das als Community Variante kommen

    Was als CV? Snort bzw. IDS? Oder pfSense allgemein? Kommerzieller Support oder anderes findet sich ja bei "diversen" Partnern relativ leicht heutzutage.



  • Naja "User" ... du Tiefstapler ...

    Ich finde es gut das du dich einbringst, sonst lernt das Forum ja nicht so doll und von deinem NowHow können andere was lernen.

    VPN bei einer Webseite = schlecht ;)

    Bei mir läuft noch eine Nextcloud, daher klappt das so nicht.
    Wenn es per VPN ausreichen würde wäre ich da sofort dabei.
    Mit dem Clientexport ... einfacher geht es fast nicht mehr.

    das mit den Ports stimmt schon .. auf ist nur was muss und Ports ausgehen nur auf IPs oder subnetze die gebraucht werden.

    Hmm bei der Frager bin ich ned ganz sichert dich auch verstanden zu haben ?
    Aufg Arbeit läuft die pfSense schon nur Snort nicht mit dem häckchen für das Blocking. Das wird aber noch kommen meinte ich.

    PM wäre da besser um den Hintergrund näher zu bringen.

    Grüßle


Log in to reply