Объяснение сигнатуры Snort - PullRequest
Новая
       100

Объяснение сигнатуры Snort

1 голос
/ 09 мая 2020

SHELLCODE x86 OS agnosti c fnstenv geteip dword xor decoder [Классификация: был обнаружен исполняемый код] [Приоритет: 1] {TCP} 192.168.202.50:60322 -> 192.168.22.252:445

1 ) что означает это предупреждение? что за подпись ищет? и если его пройти, что произойдет? 2) Какой ip у злоумышленника?

2) Данные в пакете SYN [Классификация: Generi c Протокол командного декодирования] [Приоритет: 3] {TCP} 192.168.199.58:63000 -> 192.168.28.100:60000

1 ) что означает это предупреждение? что за подпись ищет? и если его пройти, что произойдет? 2) в какой части архитектуры snort пришло это предупреждение?

3) SPYWARE-PUT Hacker-Tool timbuktu pro runtime обнаружение - порт 407 udp [классификация: Mis c активность] [приоритет: 3] {UDP} 192.168.199.58:59173 -> 192.168.22.201:407 1) что означает это предупреждение? что за подпись ищет? и если его пройти, что произойдет? 2) кто хозяин, а кто жертва?

4) snort: [1: 3815: 6] SMTP eXchange Попытка переполнения почтового сервера POP3 [Классификация: Mis c Атака] [Приоритет: 2] {TCP} 192.168.199.58:60327 -> 192.168. 21.151: 25 1) что означает это предупреждение? что за подпись ищет? и если его пройти, что произойдет? 2) кто хост, а кто атакующий?

Я провел массу поисковиков, но не смог понять или найти какую-либо подробную информацию об этих подписях. помогите пожалуйста

1 Ответ

0 голосов
/ 09 мая 2020

Итак, позвольте мне структурировать это одним ответом:

1)

  • This event indicates that shellcode has been detected in network traffic, поэтому, если этот код пройдет и будет выполнен, вы получите бэкдор.

  • 192.168.202.50: 60322, похоже, является атакующим IP, и он пытается использовать некоторую уязвимость в поле Windows 192.168.22.252:445

2)

  • 192.168.199.58: 63000 -> 192.168.28.100:60000 = для этого я не уверен, так как порт 60000 может использоваться для разных целей ..

3)

  • SPYWARE-PUT Hacker-Tool timbuktu pro обнаружение времени выполнения - порт udp 407 = это немного говорит само за себя .. 192.168.199.58:59173 пытается pu sh запрашивает порт 192.168.22.201 407 ..

4)

  • То же самое для 192.168.199.58:60327, пытаясь использовать переброс памяти в сторону SMTP на: 192.168.21.151:25

Но во всех этих случаях кажется, что 192.168.199.58, вероятно, эксплуатируется, или что-то из этого ящика исследует Сеть LAN ..

Я бы также просканировал 192.168.199.50 и .58, чтобы выяснить, кто находится на этих ящиках, любые текущие соединения с внешних адресов, которые могли использовать эти два ящика ..

...