[MASOCH-L] Ajuda com Snort
Rejaine Monteiro
rejaine at bhz.jamef.com.br
Wed Feb 11 10:48:12 BRST 2009
Olá pessoal,
Tenho o Snort instalado no firewall e estou recebendo vários alertas
tais como esse:
[**] [1:2050:14] SQL version overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
02/11-10:28:49.706286 XXX.XXX.XXX.4:2406 -> XXX.XXX.XXX.114:1434
UDP TTL:51 TOS:0x0 ID:61500 IpLen:20 DgmLen:404
Len: 376
[Xref => http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx][Xref => http://cgi.nessus.org/plugins/dump.php3?id=10674][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0649][Xref => http://www.securityfocus.com/bid/5310]
Pelo o que se percebe, foi feita uma tentativa de explorar alguma vulnerabilidade do SQL
O que ocorre é que eu não tenho esse serviço rodando no firewall ou na dmz. Ou seja, não existem portas 1434 abertas (tcp/udp)
E o firewall informa que estão sendo, sim, bloqueadas as conexões nessa porta, como pode se ver aqui:
FW-FW-DROP IN=ethx OUT=ethx SRC=xxx.xxx.xxx..10 DST=xxx.xxx.xxx.114 PROTO=UDP SPT=1616 DPT=1434
FW-INPUT-DROP IN=ethx OUT= MAC=xxx:xxx:xxx SRC=xxx.xxx.xxx..10 DST=xxx.xxx.xxx.114 PROTO=UDP SPT=1616 DPT=1434
Fiz um teste com o nmap usando uma conexão externa e resultado foi o seguinte:
# nmap -sU -PN xxx.xxx.xxx.114 -p 1434
PORT STATE SERVICE
1434/udp open|filtered ms-sql-m
Nmap done: 1 IP address (1 host up) scanned in 1.56 seconds
Sendo assim, o Snort não deveria tratar esses alertas somente se a conexão passasse pelo firewall???
Devo desativar/desconsiderar esse alerta do Snort ou será que preciso me preocupar com isso??
Att
More information about the masoch-l
mailing list