Mettez à jour SNORT!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar didier » 14 Août 2002 12:29

en consultant mes logs d'apache ce matin j'ai vu que un code red v2 avait frappé à la porte. Bien sur il s'est fait rejeté par le videur, mais normalement il n'aurait pas du arriver jusqu'ici puisque Snort sur mon ipcop aurait du l'arreter. <BR> <BR>Moralité: procurer vous les dernières signatures en date de Snort <!-- BBCode u2 Start --><A HREF="http://www.snort.org/dl/signatures/snortrules.tar.gz" TARGET="_blank">ici</A><!-- BBCode u2 End --> et installez-les! <BR> <BR>Comment? <BR>- le plus simple: décompresser le tarball avec winrar et uploader tous les fichiers "rules" et autres dans le répertoire /etc/snort/ avec Winscp <BR>- le plus propre: faites ça avec un "tar xvzf snortrules.tar.gz /etc/snort/ <BR> <BR>Vous êtes désormais à l'abri de code red & friends....du moins pour quelques temps <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>_________________ <BR>>e2fsck a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir ton truc, je préfèrerai que tu tienne toi même la tronçonneuse"<br> <BR>>NC in Guide du linuxien pervers : "Bien configurer sa tronçonneuse" <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>
-+ Entendu dans les couloirs... +-<br>/kickban reason: stack overflow in garbage collector
Avatar de l’utilisateur
didier
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 307
Inscrit le: 18 Sep 2001 00:00
Localisation: montrouge(paris)

Messagepar bri2 » 14 Août 2002 12:46

Ce qui m'étonne dans cette histoire, c'est que ipcop ne propose pas un nouveau fixes car il s'agit là d'un risque majeur !!!!
Tout solution amène de nouveaux problèmes (Murphy)
Avatar de l’utilisateur
bri2
Vice-Amiral
Vice-Amiral
 
Messages: 896
Inscrit le: 09 Fév 2002 01:00
Localisation: cap d'ail

Messagepar didier » 14 Août 2002 13:30

le fait est que les développeurs de ipcop sont relativement peu nombreux, sont en vacances, ont un job, et ne passe pas tout leur temps sur le web pour regarder si tel ou tel soft est à jour ou pas. <BR> <BR>La seule chose qui ne peuvent pas se permettre c'est ommettre les mises à jour critiques de soft, genre libssl, ssh, apache...Et les rules de snort ne rentrent pas dans cette catégorie. <BR> <BR>2 solutions: <BR> <BR>- Soit les développeurs de ipcop mettent en place un système de mises à jour automatiques, comme suggéré dans des précedents posts smoothwall, <BR>- Soit des utilisateurs de ipcop décident de faire un patch qu'ils soumettent à l'approbation des développeurs de ipcop. <BR> <BR>A voir.
-+ Entendu dans les couloirs... +-<br>/kickban reason: stack overflow in garbage collector
Avatar de l’utilisateur
didier
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 307
Inscrit le: 18 Sep 2001 00:00
Localisation: montrouge(paris)

Messagepar bri2 » 14 Août 2002 13:53

VU le succés grandissant de ipcop, je suis d'accord avec toi sur un point important didier, il faut TROUVER UNE SOLUTION !!!! <BR>quelle qu'elle soit. <BR>Cependant le fait que la 0.12 en soit déjà à la pre4, fait peut-être espérer que la version finale soit rendue dispo à la rentrée (au plus tard fin octobre) ce qui expliquerait......
Tout solution amène de nouveaux problèmes (Murphy)
Avatar de l’utilisateur
bri2
Vice-Amiral
Vice-Amiral
 
Messages: 896
Inscrit le: 09 Fév 2002 01:00
Localisation: cap d'ail

Messagepar drlin » 14 Août 2002 13:57

ca serait bien qu'il y aye un module de renouvellement des signatures snort qui fonctionne automatiquement.... ca serait le top!
A+

Dr Lin (aka Johan Denoyer)
Avatar de l’utilisateur
drlin
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 211
Inscrit le: 24 Jan 2002 01:00
Localisation: FRANCE

Messagepar Ooakley » 14 Août 2002 16:33

Esperons que les devellopeurs d'IPCOP vous entendent <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci pour l'info sur la MaJ <BR> <BR>PS : je tourne toujours en 1.2pre4 et pas de probleme rencontré pour l'instant <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
Ooakley
Quartier Maître
Quartier Maître
 
Messages: 24
Inscrit le: 04 Août 2002 00:00

Messagepar didier » 15 Août 2002 01:15

Pour faire bonne mesure, j'ai consulté les logs de SNORT sur mon ipcop à l'instant...et si vous n'êtes toujours pas convaincu du bien fondé de mettre à jour vos rules Snort sur ipcop, lisez: <BR> <BR>J'avais auparavant tout un tas de logs dans snort qui ne voulaient pas dire grand chose car non identifiés. Désormais je sais ce que c'est, et ça fait froid dans le dos: <BR> <BR>SHELLCODE x86 NOOP <BR>Priority: 1 Type: Executable code was detected <BR> <BR>FTP command overflow attempt <BR>Priority: 3 Type: Generic Protocol Command Decode <BR> <BR>WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR> <BR>WEB-IIS scripts access <BR>Priority: 2 Type: access to a potentially vulnerable web application <BR> <BR>...Moralité: si vous avez des serveurs au travail ou chez vous qui sont critiques, ne lésinez pas sur les mises à jours de Snort, c'est surement salutaire, presqu'autant que le firewall lui-même.
-+ Entendu dans les couloirs... +-<br>/kickban reason: stack overflow in garbage collector
Avatar de l’utilisateur
didier
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 307
Inscrit le: 18 Sep 2001 00:00
Localisation: montrouge(paris)

Messagepar batman » 15 Août 2002 11:16

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2002-08-14 12:46, bri2 a écrit: <BR>Ce qui m'étonne dans cette histoire, c'est que ipcop ne propose pas un nouveau fixes car il s'agit là d'un risque majeur !!!! <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>ce qui m'étonne plus c'est que nimda/redcode ont commencé à sévire depuis plus d'un an ! <BR>(01/Aug/2001 - debut des attaques chez moi)
Avatar de l’utilisateur
batman
Aspirant
Aspirant
 
Messages: 108
Inscrit le: 06 Avr 2002 00:00
Localisation: bordeaux

Messagepar youky » 15 Août 2002 11:22

Est-ce que ces MAJ sont necessaire pour Smoothwall egalement et si oui est-ce la meme procedure? <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
always look at the bright side of life
Avatar de l’utilisateur
youky
Major
Major
 
Messages: 85
Inscrit le: 27 Mars 2002 01:00
Localisation: UK

Messagepar didier » 15 Août 2002 13:27

Cela fait un bout de temps que je suis uniquement sur ipcop, je ne sais pas si la mise à jour est nécessaire... <BR> <BR>Par contre il y a fort à parier que la technique de mise à jour soit identique.
-+ Entendu dans les couloirs... +-<br>/kickban reason: stack overflow in garbage collector
Avatar de l’utilisateur
didier
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 307
Inscrit le: 18 Sep 2001 00:00
Localisation: montrouge(paris)


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron