Today's New Alert
・ATTACK-RESPONSES directory listing
ディレクトリリスト取得が成功した場合などで
「Volume Serial Number」という文字列が
HOME_NETからENTERNAL_NETへ流れたときに発生。・ATTACK-RESPONSES command error
WEBサーバ上でコマンド実行が失敗したときなどに
「Bad command or filename」という文字列が
HTTP_SERVERS HTTP_PORTSからENTERNAL_NETへ流れたときに発生。・ATTACK-RESPONSES file copied ok
ファイルがコピーされた場合に
「1 file|28|s|29| copied」という文字列が
HTTP_SERVERS HTTP_PORTSからENTERNAL_NETへ流れたときに発生。
自宅のSnortであがってきたアラートを書いていこうっと。
っていっても今は
ゲートをNetScreenにしたので
外から家のネットワークに用事があるときはVPNにするので
外部にサーバを公開していない。ってなわけで
HOME_NET any
EXTERNAL_NET any
となりFalsePositiveまくりなのだけど。
とりあえず今日から開始。今回のはWindows系サーバに攻撃が成立したときに発生する系。
IIS上でUnicodeバグとかでコマンド実行したら流れるかな。
すべてそれ系のサイトの文字列に反応していただけでしたー。