Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nachschlagen von Snort IP`s

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 3 Posters 777 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      megazocker
      last edited by megazocker

      Hallo alle

      Ich nutze in meiner pfSense seit Jahren das Snort Paket als Private Person in der OinkCode variante, und bin sehr zufrieden damit da ich seither nahe zu keine Probleme mit ungebetenen gästen habe.

      Ich möchte fragen ob jemand Quellen angeben kann wenn man Logeinträge wie

      1 TCP A Network Trojan was Detected 90.75.184.113
      62760 100.100.100.10
      80 1:2018131
      ET WORM TheMoon.linksys.router 1

      in seinem Log findet, besser verstehen kann.
      Mich interessiert insebsondere die Bedeutung der SID 1:2018131.

      unter anderem taucht auch auf 1:71074 suche ich dann unter

      https://www.snort.org/search?query=1%3A71074&submit_search=

      Erhalte ich leider keine Ergebnisse welche mich erleuchten zurück daher strauchle ich bei der Interpretation.

      Würde mich freuen auf eine entsprechendes Feedback, fehlen weitere Informationen ? würde ich auch gerne nachliefern.

      Grüße

      Homeuser
      Live long and in prosper

      1 Reply Last reply Reply Quote 0
      • P
        p54
        last edited by

        @megazocker said in Nachschlagen von Snort IP`s:

        SID 1:2018131

        Hi, ja damit kämpfe ich auch ab und zu einmal. Aber i.d.R. ist der Ansatz die SID, wie in deinem Fall dieser Link:
        https://doc.emergingthreats.net/bin/view/Main/2018131

        Darin findest du folgende Infos:

        alert http any any -> $HOME_NET 8080 (msg:"ET WORM TheMoon?.linksys.router 1"; flow:established; urilen:7; content:"GET"; http_method; content:"/HNAP1/"; http_uri; pcre:"/^(?:[0-9]{1,3}\.){3}[0-9]{1,3}$/W"; reference:url,isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630; classtype:trojan-activity; sid:2018131; rev:5; metadata:created_at 2014_02_13, updated_at 2014_02_13;) 
        

        Dort wiederum gibt es einen weiteren Link: isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630
        Ist nicht gleich ersichtlich aber lesbar. Wenn du dies in deinem Browser angibst findest du manchmal auch etwas verständliches warum es so ist wie es ist:
        https://isc.sans.edu/forums/diary/Linksys+Worm+TheMoon+Captured/17630

        Ist aber oft schwierig dort etwas für sich plausibles herauszuholen, oft gibt es auch nichts was einem selbst schlüssig erscheint. Aber was auch gut ist, ist das Buch Snort, Acid & Co. mit der ISBN: 3-937514-03-1

        VG

        1 Reply Last reply Reply Quote 0
        • M
          megazocker
          last edited by

          Hallo erstaml und danke für dein Feedback

          OK

          Diese Seite kannte ich noch nicht, ausgelöst hat meine Unzufriedenheit das ich zu dem Eintrag mit der SID

          1:71074 Microsoft
          oder
          1:71017 Samsung
          oder auch
          1:71881 Cisco

          nichts finden konnte was mich erhellt.

          Den Schmöker habe ich bei Amazon bestellt, mit AcidBase und Snort hatte ich mal meine ersten Gehversuche um ins Netz zu lauschen was sich so tut ... nun ja lange her und fand ich so auch nicht lustig was ich damals bereits so sehen konnte.

          Wie du schreibst recht schwer was da zu verwerten.

          gefunden habe ich aber noch
          http://www.security-database.com/
          über folgende Info bin ich auch gestolpert.

          Ich muss mal schaun ob ich irgendwann mal Zeit finde da etwas tiefer rein zu gehen.

          Mercini und viel Erfolg noch

          Homeuser
          Live long and in prosper

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @megazocker Darf ich mal ganz unbedarft fragen: Nutzt du das im Heimbetrieb (wegen deiner Signatur)? Und hast du daheim viele Dienste die du anbietest ins Internet?

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • M
              megazocker
              last edited by

              Hallo JeGr "Großmeister" :)

              Ich nutze das zuhause und halte mir wegen div. Diensten die ich zuhause laufen habe und, unbedarfter Heimnutzer, den Ärger seit unserer gemeinsamen Zeit bei Ci.....21 vom Hals. 30 €/Jahr sind mir da nicht zuviel und ich bin froh das zu tun.

              Erstaunlich was da alles sich so tummelt.
              Aktuell
              ET WORM TheMoon.linksys.router 1
              ET EXPLOIT D-Link DSL-2750B - OS Command Injection SERVER-WEBAPP D-Link DSL-2750B routers login.cgi command injection attempt
              ET WEB_SERVER ThinkPHP RCE Exploitation Attempt
              ET WEB_SPECIFIC_APPS Plone and Zope cmd Parameter Remote Command Execution Attempt

              Da wurde ich schon damals sehr nachdenklich und hab die damit verbundene Arbeit nie bereut.
              Beruflich wird das als Community Variante kommen .... ist aber schweres Thema und hat im Forum nix zu suchen ;)

              Die Alles gute ... wenn du mehr willst ... immer ; )

              Homeuser
              Live long and in prosper

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                @megazocker said in Nachschlagen von Snort IP`s:

                Hallo JeGr "Großmeister" :)

                Ich bin nur User, der die Klappe nicht gehalten hat und deshalb hier putzen muss ⛓

                @megazocker said in Nachschlagen von Snort IP`s:

                wegen div. Diensten die ich zuhause laufen habe

                OK und die Dienste sind damit wohl potentiell eher nicht geeignet, sie hinter ein VPN zu packen? Just askin'

                Erstaunlich was da alles sich so tummelt.

                Nuja, Lärm gibt es immer. Nur kommt es an der Stelle ja recht simpel darauf an, ob ich das ggf. überhaupt offen lassen muss - dann sind mir die Attacken selbst ja relativ egal ;) Aber wenn die Ports offen sein sollen/müssen - verständlich.

                Beruflich wird das als Community Variante kommen

                Was als CV? Snort bzw. IDS? Oder pfSense allgemein? Kommerzieller Support oder anderes findet sich ja bei "diversen" Partnern relativ leicht heutzutage.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • M
                  megazocker
                  last edited by

                  Naja "User" ... du Tiefstapler ...

                  Ich finde es gut das du dich einbringst, sonst lernt das Forum ja nicht so doll und von deinem NowHow können andere was lernen.

                  VPN bei einer Webseite = schlecht ;)

                  Bei mir läuft noch eine Nextcloud, daher klappt das so nicht.
                  Wenn es per VPN ausreichen würde wäre ich da sofort dabei.
                  Mit dem Clientexport ... einfacher geht es fast nicht mehr.

                  das mit den Ports stimmt schon .. auf ist nur was muss und Ports ausgehen nur auf IPs oder subnetze die gebraucht werden.

                  Hmm bei der Frager bin ich ned ganz sichert dich auch verstanden zu haben ?
                  Aufg Arbeit läuft die pfSense schon nur Snort nicht mit dem häckchen für das Blocking. Das wird aber noch kommen meinte ich.

                  PM wäre da besser um den Hintergrund näher zu bringen.

                  Grüßle

                  Homeuser
                  Live long and in prosper

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.