snort loggt nichts mehr? [done: ipac-ng war schuld]

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 14:48:27

Hallo!
ich bekomme seit ca. 2 Tagen keine neuen Snort-logs mehr, irgendwie ist es so, als wenn snort einfach nicht laufen würde.
snort läuft aber definitiv.
wenn ich portscans ausführe (mit nmap auf die externe adresse) bekomme ich keinerlei meldungen, obwohl das schonmal geklappt hat.

ich habe die letzten einträge mal angesehen, es gibt viele einträge ala
"möglicherweise verwundbare php-applikation gefunden"
und
"web server attacke"

betroffen scheint mein forum zu sein.
Ich denke nicht, dass da jemand eingebrochen ist (was natürlich sein kann)
ich benutzt einen aktuellen apache, ausserdem suPHP.

Ich hoffe, das ganze ist nur ein Fehler vom snort....

[edit] zwei auszüge aus meiner alert.log:

Code: Alles auswählen

[**] [1:2566:4] WEB-PHP PHPBB viewforum.php access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
04/20-13:32:24.437716 xxx.xxx.xxx.xxx:53891 -> 62.104.23.35:80
TCP TTL:64 TOS:0x0 ID:24799 IpLen:20 DgmLen:1025 DF
***AP*** Seq: 0x65998854  Ack: 0xFB76028C  Win: 0x5B4  TcpLen: 32
TCP Options (3) => NOP NOP TS: 1220339860 1450746380
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=12093][Xref => http://www.securityfocus.com/bid/9866][Xref => http://www.securityfocus.com/bid/9865]

[**] [1:2229:4] WEB-PHP viewtopic.php access [**]
[Classification: Web Application Attack] [Priority: 1]
04/20-13:32:29.986666 xxx.xxx.xxx.xxx:53894 -> 62.104.23.35:80
TCP TTL:64 TOS:0x0 ID:39596 IpLen:20 DgmLen:1038 DF
***AP*** Seq: 0x6605649E  Ack: 0xFB4FDDAD  Win: 0x5B4  TcpLen: 32
TCP Options (3) => NOP NOP TS: 1220345409 1450751929
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=11767][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0486][Xref => http://www.securityfocus.com/bid/7979]

[edit 2] Der letzte eintrag:

Code: Alles auswählen

[**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3]
04/23-06:21:39.091872 xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx.132
ICMP TTL:254 TOS:0x0 ID:1395 IpLen:20 DgmLen:56
Type:3  Code:13  DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
PACKET FILTERED
** ORIGINAL DATAGRAM DUMP:
213.155.82.132:1717 -> 67.181.201.217:2002
UDP TTL:62 TOS:0x0 ID:48627 IpLen:20 DgmLen:139 DF
Len: 111
** END OF DUMP

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 14:55:54

wie sieht dein netz aus - steht da noch ein dual homed host davor der mit iptables paketfiltert und/oder ein proxy und wie gehts dann weiter zu dem rechner auf dem snort läuft und was läuft da noch alles ... vielleicht kannst eine schnelle ASCII skzizze (oder zeichnest ein bild und postest das) der netz topologie machen mit IP´s usw. dann kann man viel besser helfen
bei snort ist das immer so eine geschichte - da muss man gezuwungener massen das ganze LAN betrachten ...

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 14:57:47

ok, das ist einfach:

[INTERNET]-----------[Internet-Host] <-mit snort

das wars schon.
ich benutze snort eigentlich hautpsächlich als logger, damit ich portscans entdecke.

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 15:00:59

ja und auf dem internet host - läuft da IPTABLES? - mirrorst du evtl. pakete? welche dienste laufen alles auf dem host?

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 15:06:27

dienste: eigentlich alles gängige:
imap und pop3 (jeweils mit ssl),
ssh, apache, mysql (aber nicht öffentlich, nur lokal)

ip tables ist aktiviert, aber nicht konfiguriert (also einfach defaulteinstellungen)

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 15:14:37

HELLinG3R hat geschrieben: ip tables ist aktiviert, aber nicht konfiguriert (also einfach defaulteinstellungen)

was meinst du mit nicht konfiguriert? - ja wenn das ding aktiv ist dann macht es auch was ...

poste einmal dein IPTABLES script

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 16:00:43

ich habe kein iptables script. es ist im Kernel aktiviert worden,
ipac-ng habe ich installiert (aber das loggt ja nur mit).

Hm, ich habe mal fetchipac -S ausgeführt, da macht ipacng neue regeln in iptables rein - gut möglich, dass ipag-ng meint, alleinherrscher zu sein....

mal sehen, ob ich snoirt dazu bekomme, seine regeln neu zu schreiben.

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 16:13:40

ok, ein simples /etc/init.d/snort restart
hat gereicht, snort loggt wieder.

Ipag-ng flusht offenbar alle Regeln und damit auch snorts logginregeln :/

kannst du mir abschliessend ein gutes IP-Tables tutorial empfehlen?

Danke nochmal für dein Bemühen!

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 16:19:13

HELLinG3R hat geschrieben:ok, ein simples /etc/init.d/snort restart
hat gereicht, snort loggt wieder.
Ipag-ng flusht offenbar alle Regeln und damit auch snorts logginregeln :/
Danke nochmal für dein Bemühen!

grins - dachte ich es mir doch das die IPTABLES sau

- wieder eigenleben entwickelt hat - was glaubst du wie oft ich da schon meinen spass hatte

kannst du mir abschliessend ein gutes IP-Tables tutorial empfehlen?

ja kann ich - beste das ich kenne - aber nicht ohne (zeit brauchst du auch)
http://iptables-tutorial.frozentux.net/ ... orial.html

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 16:23:17

hey, danke, dann sehe ich den link aber erst morgen durch

Ich würde schon gerne ne Firewall implementieren, oder zumindest zurückschiessen können, wenn ich angegriffen werde, dazu wäre iptableswissen nicht schlecht...

naja, aber eigentlich hilft doch iptables nur was gegen programe die von innen raus wollen, oder?
und solche programme laufen ja nur, wenns eh schon zu spät ist, sprich der cracker nen account hat.
weil closed ports sind nunmal closed. und dienste, die ich sichern möchte habe ich keine, es läuft nur was laufen soll...

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 16:29:32

HELLinG3R hat geschrieben: Ich würde schon gerne ne Firewall implementieren, oder zumindest zurückschiessen können

firewall solltest du schon haben - das mit dem zurückschießen vergiss einmal

wenn ich angegriffen werde, dazu wäre iptableswissen nicht schlecht...

dann sollte das schon als script vorliegen und dem kernel as breakfast gedient haben

naja, aber eigentlich hilft doch iptables nur was gegen programe die von innen raus wollen, oder?

nein - lesen http://en.wikipedia.org/wiki/Iptables

und solche programme laufen ja nur, wenns eh schon zu spät ist, sprich der cracker nen account hat.

also als account würde ich das nicht bez. - oder meldet er sich per webinterface usw. an - mit cokie auf seiner maschine

weil closed ports sind nunmal closed.

solange bis sie JEMAND aufmacht

HELLinG3R · Beitrag von **HELLinG3R** » 12.05.2005 16:40:06

gut, danke!
ich werd das alles lesen, und mich dann vertrauensvoll an dich wenden

Firewall ist echt ein muss, ich habe mal fireHol getestet, das hat aber aus irgendeinem grund nicht vernünftig funtkioniert.
Und ipacng wollte dann auch nicht mehr mitzählen.
naja, bleibt mir nur von hand die regeln zu setzen, aber das werd ich dann schon hoinbekommen

meandtheshell · Beitrag von **meandtheshell** » 12.05.2005 16:48:09

schau, tatsache das habe ich im leben gelernt ist - mach die sachen gleich 100%ig oder lass es sein hat die oma schon immer gesagt - in dem sinne das tutorial ist schon ein anständiger bock

braucht sicher seine zeit - dafür kann ich dir sagen wenn du das durchgemacht hast kennst du dich echt aus - und alle 0815 in drei min. zur firewall howtos mag ich nicht da man so nicht wirklich den hintergrund versteht und dann irgendwann sowieso sich einmal richtig hinsetzen muss und zeit investieren muss - also mache ich es gleich ordenlich ...

ich werd das alles lesen, und mich dann vertrauensvoll an dich wenden Smile

nat. - im forum gibt es so viele gute leute - da findest du für 95% der sachthemen eine lösung oder man kann dich zumindest auf die richtige fährte bringen ...

so long ...

markus