 | |
Il progetto dsy.it è l'unofficial support site dei corsi di laurea del Dipartimento di Scienze dell'Informazione e del Dipartimento di Informatica e Comunicazione della Statale di Milano. E' un servizio degli studenti per gli studenti, curato in modo no-profit da un gruppo di essi. I nostri servizi comprendono aree di discussione per ogni Corso di Laurea, un'area download per lo scambio file, una raccolta di link e un motore di ricerca, il supporto agli studenti lavoratori, il forum hosting per Professori e studenti, i blog, e molto altro...
In questa sezione è indicizzato in textonly il contenuto del nostro forum |
SNORT per Windows...Help!
Clicca QUI per vedere il messaggio nel forum |
| nous |
Questo è un forum di informatica...io ci provo,al max non mi risponde nessuno :D
Ok,il problema..un'azienda ha problemi di sicurezza massicci,devo fare un pò il tappabuchi..fin qui nulla di male.
Dovendo scegliere un sistema di auditing ho optato per snort,che in Linux va anche bene...ovviamente l'azienda non usa linux quindi devo mettere snort su Winzozz NT :mad: (!!)
Ok,il procedimento è quello classico : scarico Snort-1.8.7b121-Win32, idscenter109b1_3, snortrules.tar e installo il tutto...bello ma due dubbi mi affliggono :
1* SNORT è originariamente nato per LINUX,non è che le rules che ho scaricato sono relative sono a sistemi LINUX??
2*Perchè utilizzando le sue regole predefinite mi esce 'sto errore??
Initializing rule chains...
ERROR => Undefined variable name: (C:\SnortWin32\rules\exploit.rules:7): EXTERNA
L_NET
Fatal Error, Quitting..
Ho capito che ha una variabile non definita,ma lo fa per tutte le regole.
Chi mi può aiutare?? |
| 10t8or |
allora.. innanzitutto il consiglio e': ma a questa azienda non penso che costi tanto recuperare tra qualche ferro vecchio un pc (anche 486 =) dentro al quale mettere due sk di rete, e installarci una bella linuz con lids, fw e snort (o chenneso' una bella astaro security linux..) che risolverebbe meglio, e alla radice il problema.. no?
in piu' se la si mette come gw con 4 regole di iptables in croce si risolverebbe anche molti problemi di attacchi.. al limite cmq va bene anche una soluzione con una sola sk di rete, dove la linux farebbe solo da monitor con snort..
altrimenti se proprio sei costretto ad usare una winzozz (puoi sempre installarci sto bel vmware!! ;)) sappi che ti aspetta un lungo e tortuoso lavoro di settaggio delle variabili d'ambiente, la cosa migliore installarti una bella bash (si la si puo' mettere anche su una nt!! ;) magari scaricando il cygnus, e provare lanciando snort da li' dentro..
ciao,
tent:wq
NB: si e' un forum di informatica ma per questioni inerenti la didattica, quindi l'ho spostato in forum the bell tolls che servirebbe per queste questioni.. ;) |
| nous |
>ma a questa azienda non penso che costi tanto recuperare tra qualche >ferro vecchio un pc (anche 486 =) dentro al quale mettere due sk di >rete, e installarci una bella linuz con lids, fw e snort (o chenneso' una
>bella astaro security linux..) che risolverebbe meglio, e alla radice il >problema.. no?
Siamo d'accordo..però è sempre una spesa in più,e sono legati ai soldi come Paperon De Paperoni :)
>altrimenti se proprio sei costretto ad usare una winzozz (puoi sempre >installarci sto bel vmware!! ) sappi che ti aspetta un lungo e tortuoso >lavoro di settaggio delle variabili d'ambiente, la cosa migliore installarti >una bella bash (si la si puo' mettere anche su una nt!! magari >scaricando il cygnus, e provare lanciando snort da li' dentro..
Il vmware neanche sapevo esistesse..mi cospargo il capo di cenere :?
Al cygnus ci avevo pensato anche io...ma sinceramente mi pare una soluzione un pò forzata..
Devo configurare quella macchina in modo che funzioni come server web qual'è...suggerimenti??
Ultima domanda...ho notato che sulla porta 1566 c'è un servizio che ricorda vagamente un server FTP..non l'ha installato nessuno e non c'era prima..sai se ci sono vulnerabilità note su quella porta??Posso chiuderla come ho fatto con quelle che davano servizi cazzuti tipo ECHO,Quote of the day,..?? |
| 10t8or |
URCA.. non mi piace quella porta aperta.. cmq per ordine..
Originally posted by "nous"
Siamo d'accordo..però è sempre una spesa in più,e sono legati ai soldi come Paperon De Paperoni :)
ma come, un vecchio pc ce l'avranno pure, che non usano piu' e che quindi non gli costa un Euroz.. no?
cmq in cambio del risparmio..
Originally posted by "nous"
Il vmware neanche sapevo esistesse..mi cospargo il capo di cenere :?
Al cygnus ci avevo pensato anche io...ma sinceramente mi pare una soluzione un pò forzata..
Devo configurare quella macchina in modo che funzioni come server web qual'è...suggerimenti??
tranqui, ma forse non ho capito cosa devi fare, devi SOLO rilevare potenziali attacchi per poi magari SUCCESSIVAMENTE prendere contromisure o ti serve PROTEGGERE attivamente questo server web..
perche se la risposta fosse la seconda, sappi che non ti serve a molto snort, ma ti serve qualche bella regolina di firewall.. poi in un secondo tempo, pure altre amenita' e accorgimenti, ma la prima cosa il fw..
ah, e prima che mi dimentichi, NON ti salti in mente di installare IIS sulla winzozz.. assolutamente un bel (e gratuito) Apache.. il sito ha esigenze particolari?
Originally posted by "nous"
Ultima domanda...ho notato che sulla porta 1566 c'è un servizio che ricorda vagamente un server FTP..non l'ha installato nessuno e non c'era prima..sai se ci sono vulnerabilità note su quella porta??Posso chiuderla come ho fatto con quelle che davano servizi cazzuti tipo ECHO,Quote of the day,..??
sempre col firewall.. ;)
cmq da quel che descrivi, potrebbe essere benissimo che qualcuno ci sta sharando qualcosa a tua insaputa..
ma hai provato a gollegartici in telnet e potevi dare comandi tipo cd e get?!?! :?:
tent:wq |
| ildix |
Originally posted by "nous"
Ultima domanda...ho notato che sulla porta 1566 c'è un servizio che ricorda vagamente un server FTP..non l'ha installato nessuno e non c'era prima..sai se ci sono vulnerabilità note su quella porta??Posso chiuderla come ho fatto con quelle che davano servizi cazzuti tipo ECHO,Quote of the day,..??
Ricordati che quando usi ftp (anceh come client), questo usa due porte, una per lo scambio dati iniziali che è la 21, e l'altra per lo ssambio file effettivo sopra la 1024.
ildix |
| nous |
Quante domande..allora mi serve sia difendere che rilevare gli attacchi che mi bucano le difese(non sono così vanitoso da pensare che un server da me configurato sia non bucabile :) )Oltretutto che io eredito il lavoro già fatto,non posso toccare nulla di quello che c'è già,infatti definisco il mio lavoro come "tappare i buchi fatti da altri".
Faccio presente che il server è stato già bucato due volte ,la prima con il worm SQL e la seconda boh non ho visto nulla mi hanno solo riferito.
Il server usa IIS,lo aveva prima che lo prendessi io...ribadisco che non posso modificare alcunchè ma solo tappare i buchi.
Il sito è scritto in ASP (l'ho fatto io,ma non avevo scelte..o con ASP o con niente e non chiedetemi perchè,scelte aziendali che non concepisco),le tabelle che usa sono importate dall'AS/400 su SQLServer.
Credo che metà del mio tempo lo passerò a sanare le falle di Frontpage[quasi quasi lo disinstallo].
Non posso fare nulla sui routers della TIM che come si sa sono proprio intoccabili per loro decreto legge(e il bello è che li configurano anche male,spesso),il firewall glielo metterò però a questo punto ne metto uno di emergenza(magari ZoneAlarm)e poi mi dedico a persuadere i boss dell'utilità di una macchina Linux come firewall.
La porta 1566 per me è stata una grande sorpresa,ho provato a collegarmi ed effettivamente è un servizio tipo ftp...mi da una roba tipo questa(trovata testando il tutto con l'SSS) :
220-Serv-U FTP Server v4.0 for WinSock ready...
220--+- =oO¤}±±±±±±±±±±±±±±±±±±±±±±
±±±±±{¤Oo=-+-
220- | {¤Oo=-+- Bienvenue -+-=oO¤}
220- | {¤Oo=-+- Pubstro's OnLiNe -+-=oO¤}
220- |
220--+- =oO¤}±±±±±±±±±±±±±±±±±±±±±±
±±±±±{¤Oo=-+-
220- |
220--+- =oO¤}±±±±±±±±±±±±±±±±±±±±±±
±±±±±{¤Oo=-+-
220- | {¤Oo=-+- Server statistics: -+-=oO¤}
220- |
220- | Ton IP est: 151.30.199.106
220- | Heure Serveur est: 15:46:00
220- | Ce serveur et lancé depuis: 0 Days
220- | 1 Heures, 29 Minutes
220- |
220- | Total users loggé ici: 3
220- | Nombre d'users OnLiNe: 1
220- | Kb uploadé: 0 Kb
220- | Kb télécharger: 0 Kb
220- | Files uploadé: 0
220- | Files téléchargé: 0
220- | Vitesse moyenne: 0.000 Kb/sec
220- | Bande passante utilisé: 0.000 Kb/sec
220- | Espace de disk restant: 2588.62 KB
220 -+- =oO¤}±±±±±±±±±±±±±±±±±±±±±±
±±±±±{¤Oo=-+- |
| 10t8or |
carissimo amico...
siediti su una poltrona comoda, leggi questo post con calma, medita e poi telefona al tuo capo e digli di prendere seriamente in considerazione un esperto di sicurezza in azienda..
allora, prima cosa da dire e che:
direi che ci sono dei simpatici ragazzini DENTRO quel server, e che lo stanno sfruttando per scambiarsi ROBA (chenneso' mp3, iso di giochi warez vari e co.. un po' di tutto ;)) ci hanno installato un bel ftpserver su quella porta, e probabilemnte insieme all'ip del tuo serve, sta girando per mezza interent, o peggio per mezza irc, come merce di scambio, di loschi traffici..
tutto qui? noooo...
innanzitutto mi premerebbe proprio farti capire che: NON E' UMANAMENTE CONCEPIBILE NON REINSTALLARE UNA MACCHINA DOPO CHE E' STATA FALLATA UNA VOLTA.. e' proprio per questo che chi buca server aziendali, provaca spesso danni molto ingenti,proprio perche' costringe a reinstallare e maagri poi a prevenire ulteriori intrusioni..
inoltre, non e' saggio sottovalutare queste cose.. sai quell'ip gira tra persone losche.. si sa che e' facilemente bucabile, si faranno forse anche grasse risate di tutta questa storia (ue, guarda di non deprimerti troppo eh? eppoi non e' colpa tua, tu povero, sei appena arrviato, no? ;))
quantomeno, il minimo e' sistemarci un bel fw linux fra la macchina e l'esterno (router telecoz o quantaltr0)
cmq la reinstallazione e' d'uopo.. davvero.. chissa' che porcate ci saranno su quel server.. a proposito, ma a che cosa serveR? (solo curiosita' =)
ok, fammi sapere, ora ho sonno, e' tardi e vado a nanna.. ;)
tent:wq |
| nous |
>siediti su una poltrona comoda, leggi questo post con calma, medita e >poi telefona al tuo capo e digli di prendere seriamente in considerazione >un esperto di sicurezza in azienda..
Incredibile,questo lo avevo già fatto :)
>direi che ci sono dei simpatici ragazzini DENTRO quel server, e che lo >stanno sfruttando per scambiarsi ROBA (chenneso' mp3, iso di giochi >warez vari e co.. un po' di tutto ) ci hanno installato un bel ftpserver su >quella porta, e probabilemnte insieme all'ip del tuo serve, sta girando >per mezza interent, o peggio per mezza irc, come merce di scambio, di >loschi traffici..
Ok,questo lo avevo temuto anche io ma sentire che lo dice qualcuno altro è consolante :)
>innanzitutto mi premerebbe proprio farti capire che: NON E' >UMANAMENTE CONCEPIBILE NON REINSTALLARE UNA MACCHINA DOPO >CHE E' STATA FALLATA UNA VOLTA.. e' proprio per questo che chi buca >server aziendali, provaca spesso danni molto ingenti,proprio perche' >costringe a reinstallare
Ok,allora devo :
1*Reinstallare la macchina
2*Installare le patch Microzozz sulla sicurezza
3*Configurare un firewall
4*Disabilitare i servizi inutili
5*Rimuovere i cgi pericolosi
6*Riassegnare tutte le pwd
7*Pregare
8*Aspettare che snort mi dica che tutto è stato inutile :)
Giusto??
>inoltre, non e' saggio sottovalutare queste cose.. sai quell'ip gira tra >persone losche.. si sa che e' facilemente bucabile, si faranno forse >anche grasse risate di tutta questa storia (ue, guarda di non deprimerti >troppo eh? eppoi non e' colpa tua, tu povero, sei appena arrviato, no? )
Beh guarda,io proprio non ho colpe,non ho curato io la sistemistica la dentro...sono solo il tappabuchi d'emergenza.Tant'è che non sottovaluto nulla ma finchè non ci metto mano io non mi angoscio nemmeno..mi limito ad avvertire il sistemista di quell'azienda.
Sono un tappabuchi per a questo punto si copre le spalle con qualche carta da far firmare a chi vuole che risolva 'sto casino.
Il server serve "solo" per un sito web di commercio elettronico.
Ti farò sapere,se lo risolvo facciamo bisboccia al SILAB :D :D |
| Mino |
Originally posted by "10t8or"
carissimo amico...
siediti su una poltrona comoda, leggi questo post con calma, medita e poi telefona al tuo capo e digli di prendere seriamente in considerazione un esperto di sicurezza in azienda..
francisco, ti adoro :rotfl: |
| Mino |
Originally posted by "nous"
2*Installare le patch Microzozz sulla sicurezza
iis? :rotfl: |
| 10t8or |
> Il server serve "solo" per un sito web di commercio elettronico.
SOLO?!?!
poveri gli acquirenti di quel sito.. perche' non convinci i tuoi capi con discorsi tipo: guarda che se qualceh num di carta di credito passa a "terzi" rischi denunce e responsabilita' mica male?!?!?! =))))
cmq per quanto riguarda i punti da te citati.. tutto ok, se reinstalli da capo e cambi pass e levi TUTTO cio' che non serve, vai sicuramente bene, poi ripeto, se non usi asp o cose strane insallaci apache, poi metti un 486 sfigato "davanti" a sto winzozz e mettici delle regole cazzute di iptables (se ti serve na mano..) e snort..
poi va bene anche pregare.. ;)
tent:wq |
| underscore |
Originally posted by "10t8or"
... poi metti un 486 sfigato....
tent:wq
Sfigato un 486?
Tent hai avuto account su un 486sx, potrei offendermi :-)
Soprattutto NON e' un costo, un 486 in cantina ce l'hanno di sicuro e per quanto riguarda la
licenza sono a posto (stampagliene una copia della GPL :-)
Per il sistema operativo e' solo una questione di gusto, io metterei un bell'openbsd..
luca |
| nous |
No problem per le carte di credito,"fortunatamente" i pagamenti li hanno voluti con bonifico bancario..
So che rischia di diventare un forum sulla sicurezza e mi scuso,ma...il fatto va denunciato alle autorità o no?Almeno per pararsi il culo nel caso che il server sia stato utilizzato per cose poco legali.
Su openbsd ci ho fatto un pensiero anche io,ho giusto la versione 4.5 che freme :D
se non usi asp o cose strane
Come ho scritto qualche msg fa,il sito lo hanno voluto in ASP perchè di PHP&Co. non si fidavano (e non chiedermi perchè...sai che il monopolio Microzozz si basa anche su voci di corridoi)
Per le regole di Iptables vedremo se lo vogliono il catorcetto a protezione del serverone...anche se mi fa ridere che un PC Linux protegga una macchina Winzozz [penso al povero Bill :D :D ]
Per le |
| underscore |
Originally posted by "nous"
Su openbsd ci ho fatto un pensiero anche io,ho giusto la versione 4.5 che freme :D
4.5 mi sa di freebsd che e' un altro bel sistema adattissimo allo scopo :-)
In realta' per i server vanno IMHO indifferentemente bene NetBSD, OpenBSD, FreeBSD,
slackware e debian.
Qualsiasi cosa non sia super-aperta di default e abbia un sistema decente di pacchetti.
[quote]
anche se mi fa ridere che un PC Linux protegga una macchina Winzozz [penso al povero Bill :D :D ]
no, non fa ridere, e' la realta' di un sacco di situazioni, quella dove non si puo' prescindere da
windows.
Quella realta' nascosta (black box :-) dei sistemisti.
Ed e' pure una ottima soluzione che ti permette di non combattere contro i mulini a vento. |
| 10t8or |
x Luca.. ho detto 486 sfigato solo per far capire che non c'era bisogno di spedere niente per la macchina, come hai detto tu.. ci mancherebbe.. anzi..
(a proprosito quella macchina di cui parli e' ancora viva per caso?!?!?! =)
x il discorso del server.. direi che OpenBSD sia l'unica scelta papabile se si parla di s.o. che sia gia' sicuro out of the box, appena installato, tutti gli altri richiedono un certo sbattimento prima di rientrare entro un certo limite di sicurezza(almeno quella remota) nel qual caso ve bene tutto, anche una redhatz..
cmq sto ancora ridendo x la frase "abbiamo scelto asp per sicurezza"! in che senso?!?! ;)
tent:wq |
| underscore |
Originally posted by "10t8or"
(a proprosito quella macchina di cui parli e' ancora viva per caso?!?!?! =)
no e mi manca parecchio sai, la prima macchina amministrata ed in effetti me l'avevi anche bucata brutto lamer :-P
Adesso (dieci macchine dopo) sono un po migliorato).
Il sistemista si vede dal coraggio, dall'altruismo, dalla fantasiaaaaaaaaaaaaaa :-)
a me piace NetBSD perche' gira uguale uguale su tutti i miei computerZ :-)
_ |
| 10t8or |
Originally posted by "underscore"
Originally posted by "10t8or"
(a proprosito quella macchina di cui parli e' ancora viva per caso?!?!?! =)
no e mi manca parecchio sai, la prima macchina amministrata ed in effetti me l'avevi anche bucata brutto lamer :-P
_
ehm...err... whops..
io non so nulla... e' che era troppo invitante.. ;)
ma poi si scherzava.. ;)
bei tempi.. |
| underscore |
Originally posted by "10t8or"
io non so nulla... e' che era troppo invitante.. ;)
Se riesco (ci vuole la complicita' di altre 4 ernie) potrei tentare di mettere su internet
una bella vaxstation2000 con su VMS 5.5
Un bel server web per vms (OSU HTTPD) c'e' :-) |
| 10t8or |
Originally posted by "underscore"
Originally posted by "10t8or"
io non so nulla... e' che era troppo invitante.. ;)
Se riesco (ci vuole la complicita' di altre 4 ernie) potrei tentare di mettere su internet
una bella vaxstation2000 con su VMS 5.5
Un bel server web per vms (OSU HTTPD) c'e' :-)
pazzo.. e come faresti? hai fw a casa? =)))
tent:wq |
| underscore |
Originally posted by "10t8or"
Originally posted by "underscore"
Originally posted by "10t8or"
io non so nulla... e' che era troppo invitante.. ;)
Se riesco (ci vuole la complicita' di altre 4 ernie) potrei tentare di mettere su internet
una bella vaxstation2000 con su VMS 5.5
Un bel server web per vms (OSU HTTPD) c'e' :-)
pazzo.. e come faresti? hai fw a casa? =)))
tent:wq
no, dove faccio la tesi sulla isdn condivisa.
e' li in un angolo del magazzino a prendere polvere.
immagina una scatola piu' piccola di un pc desktop (dimensionalmente e' un semicubo tipo,
se te lo ricordi, l'olivetti m24) che pero' pesa' 20 chili!
Computer di ghisa.... |
|
|
|
|
