Snort logok

Security-all

Üdv lenne egy kérdésem.

Fent van a szerveren a snort és az alert logokat nézve látom hogy:

[**] [1:100000211:2] COMMUNITY WEB-PHP Gallery g2_itemId access [**]
[Classification: Web Application Attack] [Priority: 1]
01/11-15:44:17.993074 ***.***.***.***:4974 -> ***.***.***.***:80
TCP TTL:124 TOS:0x0 ID:52576 IpLen:20 DgmLen:620 DF
***AP*** Seq: 0xEAF0A783 Ack: 0x9AC7F96 Win: 0xF3EB TcpLen: 20
[Xref => http://www.osvdb.org/displayvuln.php?osvdb_id=13034][Xref => http://cgi.nessus.org/plugins/dump.php3?id=20015][Xref => http://cve.mitre.org/cgi-bin/
cvename.cgi?name=2005-0222][Xref => http://www.securityfocus.com/bid/15108]

Ebből látom hogy valami WEB-PHP Gallery vel van a probléma. A kérdésem arra vonatkozna, hogy hol lehet megnézni azt hogy ez melyik oldalhoz tartozhat, hol lehet beállitáni hogy ez is a logba kerüljön?

  • 1637 megtekintés

( Morin | 2009. 01. 12., h – 07:36 )

Hali!

Melyik oldalhoz, azt nem tudom, mivel nem ismerem a környezetet, ugyanakkor megvan a pontos időpont, hogy a snort mikor kapta be. Ez időpontra keress web szerver log-ban és valószínűleg többre jutsz, mint ha csak a snort logot nézed.
Szóval, megvan, hogy 01/11-15:44:17-kor érkezett a támadás.
Megnézed a web szerver logot, odaugrasz ehhez az időponthoz a logban. Ha onnan sem egyértelmű, akkor megnézed a linkeket, amiket snort kiírt és megnézed, hogy ez a támadás kb. hogy néz ki. Körvonalazódni fog, hogy melyik sor is az az a logban, amit keresel. :)
Másrészt, milyen logba akarod, hogy kerüljön? syslog? Én javaslom maradjon külön, hacsak nincs valami logelemző eszköz, ami szépen felnyalja a logot és szól, ha van valami, stb. :)

( turul16 v | 2009. 01. 12., h – 08:24 )

Ha nincs WEB-PHP Gallery -d a szervereken, akkor figyelmen kivul hagyhatod.

Egyes automatizalt tamadasok esznelkul probalkoznak, anelkul hogy megneznek, hogy egyaltalan van -e olyan dolog a serveren.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Igazad van. Ettől függetlenül érdekes lehet más szempontból is. Ami még érdekesebb, hogy legtöbb embert mégsem érdekli és ennyivel letudja...
Másrészt, én már csak azért is utánanéznék (ha nem is ennek az egy konkrét próbálkozásnak), mert lehet akad más érdekes is, amit eddig nem vett észre.