[RoLUG] Regola snort per SQL Slammer
Roccatello Eduard
rolug@lists.linux.it
Tue, 28 Jan 2003 22:01:25 +0100
Cari ragazzi,=20
visto quello che =E8 successo sabato ad internet vi faccio un forward di =
un=20
pario di regole per snort anti SQL Slammer.
se incontrate problemi con queste rules fatemelo sapere che inoltro al Qu=
e i=20
problemi :-)
ciao ciao=20
--=20
Roccatello Eduard
RoLUG member @ http://rovigo.linux.it
Webmaster @ http://www.pcimprover.it
[Messaggio INOLTRATO]
Data: Sat, 25 Jan 2003 21:27:02 +0100
Da: -=3DQuequero=3D-
Oggetto: MS-SQL Worm
Dopo aver dibattuto con l'amministratore di routers.com siam convenuti su=
l=20
fatto
che una di queste due signature per snort va bene:
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL Slammer Worm=20
Activity";
content:"|04 01 01 01 01 01 01 01|"; classtype:bad-unknown; sid:9994;=20
rev:1;)
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"MS-SQL Slammer Worm=20
Activity";
content:"|81f10301049b81f101|"; classtype:bad-unknown; sid:9994; rev:1;)
Ok la prima e' la sua, la seconda e' la mia... La prima e' piu' sicura=20
perche' se qualcuno
modifica il worm quella parte dovrebbe rimanere, il problema e' che i pri=
mi=20
byte del pacchetto
possono cambiare, la seconda e' la mia e identifica con certezza il worm,=
=20
come controparte
pero', non credo che intercetti future versioni modificate... Quindi se n=
on=20
vi crea problemi
avere delle righe doppie nei log, mettetele tutte e due, lui non puo'=20
perche' amministra
un core router e ogni microsecondo di ritardo e' vitale... Quindi ancora=20
stiamo vagliando
quale delle due sia opportuno utilizzare :P
ciao
-=3DQuequero=3D-
SpP/Member www.spippolatori.com
UIC Founder www.quequero.tk
Linux Registered User #207978=20