Mettez à jour SNORT!

[didier]

en consultant mes logs d'apache ce matin j'ai vu que un code red v2 avait frappé à la porte. Bien sur il s'est fait rejeté par le videur, mais normalement il n'aurait pas du arriver jusqu'ici puisque Snort sur mon ipcop aurait du l'arreter. <BR> <BR>Moralité: procurer vous les dernières signatures en date de Snort <!-- BBCode u2 Start --><A HREF="http://www.snort.org/dl/signatures/snortrules.tar.gz" TARGET="_blank">ici</A><!-- BBCode u2 End --> et installez-les! <BR> <BR>Comment? <BR>- le plus simple: décompresser le tarball avec winrar et uploader tous les fichiers "rules" et autres dans le répertoire /etc/snort/ avec Winscp <BR>- le plus propre: faites ça avec un "tar xvzf snortrules.tar.gz /etc/snort/ <BR> <BR>Vous êtes désormais à l'abri de code red & friends....du moins pour quelques temps <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>_________________ <BR>>e2fsck a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir ton truc, je préfèrerai que tu tienne toi même la tronçonneuse"<br> <BR>>NC in Guide du linuxien pervers : "Bien configurer sa tronçonneuse" <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[bri2]

Ce qui m'étonne dans cette histoire, c'est que ipcop ne propose pas un nouveau fixes car il s'agit là d'un risque majeur !!!!

[didier]

le fait est que les développeurs de ipcop sont relativement peu nombreux, sont en vacances, ont un job, et ne passe pas tout leur temps sur le web pour regarder si tel ou tel soft est à jour ou pas. <BR> <BR>La seule chose qui ne peuvent pas se permettre c'est ommettre les mises à jour critiques de soft, genre libssl, ssh, apache...Et les rules de snort ne rentrent pas dans cette catégorie. <BR> <BR>2 solutions: <BR> <BR>- Soit les développeurs de ipcop mettent en place un système de mises à jour automatiques, comme suggéré dans des précedents posts smoothwall, <BR>- Soit des utilisateurs de ipcop décident de faire un patch qu'ils soumettent à l'approbation des développeurs de ipcop. <BR> <BR>A voir.

[bri2]

VU le succés grandissant de ipcop, je suis d'accord avec toi sur un point important didier, il faut TROUVER UNE SOLUTION !!!! <BR>quelle qu'elle soit. <BR>Cependant le fait que la 0.12 en soit déjà à la pre4, fait peut-être espérer que la version finale soit rendue dispo à la rentrée (au plus tard fin octobre) ce qui expliquerait......

[drlin]

ca serait bien qu'il y aye un module de renouvellement des signatures snort qui fonctionne automatiquement.... ca serait le top!

[Ooakley]

Esperons que les devellopeurs d'IPCOP vous entendent <IMG SRC="images/smiles/icon_smile.gif"> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci pour l'info sur la MaJ <BR> <BR>PS : je tourne toujours en 1.2pre4 et pas de probleme rencontré pour l'instant <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

[didier]

Pour faire bonne mesure, j'ai consulté les logs de SNORT sur mon ipcop à l'instant...et si vous n'êtes toujours pas convaincu du bien fondé de mettre à jour vos rules Snort sur ipcop, lisez: <BR> <BR>J'avais auparavant tout un tas de logs dans snort qui ne voulaient pas dire grand chose car non identifiés. Désormais je sais ce que c'est, et ça fait froid dans le dos: <BR> <BR>SHELLCODE x86 NOOP <BR>Priority: 1 Type: Executable code was detected <BR> <BR>FTP command overflow attempt <BR>Priority: 3 Type: Generic Protocol Command Decode <BR> <BR>WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR> <BR>WEB-IIS scripts access <BR>Priority: 2 Type: access to a potentially vulnerable web application <BR> <BR>...Moralité: si vous avez des serveurs au travail ou chez vous qui sont critiques, ne lésinez pas sur les mises à jours de Snort, c'est surement salutaire, presqu'autant que le firewall lui-même.

[batman]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2002-08-14 12:46, bri2 a écrit: <BR>Ce qui m'étonne dans cette histoire, c'est que ipcop ne propose pas un nouveau fixes car il s'agit là d'un risque majeur !!!! <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>ce qui m'étonne plus c'est que nimda/redcode ont commencé à sévire depuis plus d'un an ! <BR>(01/Aug/2001 - debut des attaques chez moi)

[youky]

Est-ce que ces MAJ sont necessaire pour Smoothwall egalement et si oui est-ce la meme procedure? <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">

[didier]

Cela fait un bout de temps que je suis uniquement sur ipcop, je ne sais pas si la mise à jour est nécessaire... <BR> <BR>Par contre il y a fort à parier que la technique de mise à jour soit identique.