2005/11/17, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-17 a las 18:32 +0100, Emiliano Sutil escribió:
No, pararlo no lo para, lo que hace es que el cliente de IMAP, el mozilla thunderbird en este caso, no recoge nada.
Pero es que el snort no puede afectar en nada, no debe. Si quitando el snort te funciona, has descubierto un bug. O yo estoy muy equivocado, que también pudiera ser.
Pues por un lado tienes razon, lo he vuelto a lanzar y no me ha parado el IMAP, igual habia otra cosa tocando las narices, asi que lo he vuelto a activar a ver que pasaba Por otro lado me sigue saliendo ese mensaje en los logs desde un monton de equipos de la red.
- -- Affected Systems: Pegasus Mail Mercury Mail Transport System 3.32 Pegasus Mail Mercury Mail Transport System 4.01a - -- Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías reportar esto a snort como un falso ataque.
Pues el pegasus ese no se ni lo que es, en mi red solo se usa como cliente de correo Thunderbird. Asi que lo reportaré a los de snort a ver que me dicen
Pero aparte de eso, se pueden desactivar pruebas.
En /etc/snort/rules/imap.rules, cerca del final está la que buscas, la comentas y queda desactivada, y santas pascuas.
Voy a comentarlas porque da un poco de mal rollo ese mensaje...
- -- Saludos
Saludos Emi