hola a todos A raiz de un hilo que he visto en la lista me he decidido a instalar snort para probarlo, Lo he instalado y lanzado con la configuración por defecto y el primer efecto que veo es que el IMAP me deja de funcionar, este es el log que sale en el fichero messages: snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40 ¿que significa esto y como puedo evitarlo? gracias Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-17 a las 10:13 +0100, Emiliano Sutil escribió:
A raiz de un hilo que he visto en la lista me he decidido a instalar snort para probarlo,
Lo he instalado y lanzado con la configuración por defecto y el primer efecto que veo es que el IMAP me deja de funcionar, este es el log que sale en el fichero messages:
El snort no tiene capacidad para detener servicios.
snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
¿que significa esto y como puedo evitarlo?
El snort piensa que 192.168.1.110 está atacando tu servidor imap en 192.168.1.40, con un ataque "intento de sobrepaso en recogida en IMAP", o algo así. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDfGLntTMYHG2NR9URAjgEAKCZDqrhFXDyuTovKYRtvw8Sx0JuvgCeNqqk iJG1lUEEeGtJB634mAwZpk4= =0sLO -----END PGP SIGNATURE-----
El 17/11/05, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-17 a las 10:13 +0100, Emiliano Sutil escribió:
A raiz de un hilo que he visto en la lista me he decidido a instalar snort para probarlo,
Lo he instalado y lanzado con la configuración por defecto y el primer efecto que veo es que el IMAP me deja de funcionar, este es el log que sale en el fichero messages:
El snort no tiene capacidad para detener servicios.
No, pararlo no lo para, lo que hace es que el cliente de IMAP, el mozilla thunderbird en este caso, no recoge nada.
snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
¿que significa esto y como puedo evitarlo?
El snort piensa que 192.168.1.110 está atacando tu servidor imap en 192.168.1.40, con un ataque "intento de sobrepaso en recogida en IMAP", o algo así.
La verdad es que esa ip, en concreto el usuario que usa ea ip tiene un buzon IMAP bastante grande ocupa 700 megas, pero es lo que hay. Mirare la documentacion del snort a ver si hay algo para aumentar el fetch del IMAP o algo asi. Todavia no me he metido a fondo con el RTFM (si yo tambien me he instalado el wtf ;-) ) un saludo Emi
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-17 a las 18:32 +0100, Emiliano Sutil escribió:
No, pararlo no lo para, lo que hace es que el cliente de IMAP, el mozilla thunderbird en este caso, no recoge nada.
Pero es que el snort no puede afectar en nada, no debe. Si quitando el snort te funciona, has descubierto un bug. O yo estoy muy equivocado, que también pudiera ser.
snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
Está documentado:
.../packages/snort/signatures/3070.txt.gz
Rule:
- --
Sid:
3070
- --
Summary:
This event is generated when an attempt is made to exploit a buffer
overflow associated with the several commands of the Mercury Mail IMAP
service.
- --
Impact:
A successful attack may cause a denial of service or a buffer overflow
and the subsequent execution of arbitrary code on a vulnerable server.
- --
Detailed Information:
A vulnerability exists in the way that the Mercury Mail IMAP service
handles several commands. An excessively long command argument can
trigger a denial of service or a buffer overflow and the subsequent
execution of arbitrary code on a vulnerable server.
- --
Affected Systems:
Pegasus Mail Mercury Mail Transport System 3.32
Pegasus Mail Mercury Mail Transport System 4.01a
- --
Attack Scenarios:
An attacker can supplied an overly long command, causing denial of
service or a buffer overflow.
- --
Ease of Attack:
Simple.
- --
False Positives:
None known.
- --
False Negatives:
None known.
- --
Corrective Action:
Upgrade to the latest non-affected version of the software.
- --
Contributors:
Sourcefire Research Team
Brian Caswell
La verdad es que esa ip, en concreto el usuario que usa ea ip tiene un buzon IMAP bastante grande ocupa 700 megas, pero es lo que hay.
No, eso no tiene nada que ver. Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías reportar esto a snort como un falso ataque. Pero aparte de eso, se pueden desactivar pruebas. En /etc/snort/rules/imap.rules, cerca del final está la que buscas, la comentas y queda desactivada, y santas pascuas. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDfM4ptTMYHG2NR9URAkvJAJkBdiuaJ17Ui42VRMXRARELkLdYHQCeKrgz yJfAkoXWVbPZ0N+lFmrTx30= =xds5 -----END PGP SIGNATURE-----
2005/11/17, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-17 a las 18:32 +0100, Emiliano Sutil escribió:
No, pararlo no lo para, lo que hace es que el cliente de IMAP, el mozilla thunderbird en este caso, no recoge nada.
Pero es que el snort no puede afectar en nada, no debe. Si quitando el snort te funciona, has descubierto un bug. O yo estoy muy equivocado, que también pudiera ser.
Pues por un lado tienes razon, lo he vuelto a lanzar y no me ha parado el IMAP, igual habia otra cosa tocando las narices, asi que lo he vuelto a activar a ver que pasaba Por otro lado me sigue saliendo ese mensaje en los logs desde un monton de equipos de la red.
- -- Affected Systems: Pegasus Mail Mercury Mail Transport System 3.32 Pegasus Mail Mercury Mail Transport System 4.01a - -- Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías reportar esto a snort como un falso ataque.
Pues el pegasus ese no se ni lo que es, en mi red solo se usa como cliente de correo Thunderbird. Asi que lo reportaré a los de snort a ver que me dicen
Pero aparte de eso, se pueden desactivar pruebas.
En /etc/snort/rules/imap.rules, cerca del final está la que buscas, la comentas y queda desactivada, y santas pascuas.
Voy a comentarlas porque da un poco de mal rollo ese mensaje...
- -- Saludos
Saludos Emi
El 18/11/05, Emiliano Sutil escribió:
Pues por un lado tienes razon, lo he vuelto a lanzar y no me ha parado el IMAP, igual habia otra cosa tocando las narices,
¿Igual los 700 correos que tenía el usuario...? ;-)
Pues el pegasus ese no se ni lo que es, en mi red solo se usa como cliente de correo Thunderbird.
Mercury Mail es un servidor de correo pop3 / smtp para sistemas Windows y Netware: http://www.pmail.com/overviews/ovw_mercury.htm Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-18 a las 18:23 +0100, Emiliano Sutil escribió:
Pues por un lado tienes razon, lo he vuelto a lanzar y no me ha parado el IMAP, igual habia otra cosa tocando las narices, asi que lo he vuelto a activar a ver que pasaba
Bien.
Por otro lado me sigue saliendo ese mensaje en los logs desde un monton de equipos de la red.
- -- Affected Systems: Pegasus Mail Mercury Mail Transport System 3.32 Pegasus Mail Mercury Mail Transport System 4.01a - -- Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías reportar esto a snort como un falso ataque.
Pues el pegasus ese no se ni lo que es, en mi red solo se usa como cliente de correo Thunderbird. Asi que lo reportaré a los de snort a ver que me dicen
Es un servidor de correo.
Pero aparte de eso, se pueden desactivar pruebas.
En /etc/snort/rules/imap.rules, cerca del final está la que buscas, la comentas y queda desactivada, y santas pascuas. Voy a comentarlas porque da un poco de mal rollo ese mensaje...
Puesto que no tienes el pegasus, que es el vulnerable a ese ataque, lo puedes desactivar perfectamente. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDflg6tTMYHG2NR9URAt+PAJ9YqhQELOK4sIIGHOgQW251tgH7AgCfe5kQ acWS9OSbBEGriB/DwbDgHDo= =fT7O -----END PGP SIGNATURE-----
participants (3)
-
Camaleón
-
Carlos E. R.
-
Emiliano Sutil