[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01198] Snort のアラート無限ループ

 ■■■■■   ≪厳重警戒≫ ウイルス感染には要注意!!   ■■■■■
最近メールを開いただけで感染してしまうウイルスが急増中。世界シェアNo.1の
オンラインウイルス対策ソフト「McAfee.comウイルススキャンオンライン」なら
うっかり開いても駆除できるので安心です。今なら7,500円→3,900円。
http://www.sourcenext.com/e-shop/mag_85.html
------------------------------------------------------------------------


森岡です。

ちょっと笑い話を。

私は Snort のログを syslog で取っていて、ログ監視ツールから
メールで通知されるようにしているのですが、今朝から SMTP の
EXPN で root を調べているとのアラートが繰り返し上がって来て
いるのに気づきました。

調べてみると incidents@xxxxxxxxxxxxxxxxx に似たような報告が
投稿されています。ちょっとびっくりして調べてみると、接続元は
契約しているプロバイダのメールサーバです。

アラートは午後になっても収まらず、繰り返し送られて来ます。

結局原因は... ログ監視ツールからのメールに含まれるアラート中
の文字列に反応して再度アラートが上がり、そのアラートに反応し
てまたアラートが... を無限に繰り返しているだけでした。

とりあえずそのルールを一時停止させる事で無限ループは収まりま
したが、他にも同じようなループを起こしそうな Snort ルールは
結構あります。そもそもログを暗号化もせずに送っているのが悪い
のかもしれませんね。

****************************************************************
* 森岡和才 Kazutoshi Morioka  <aab36830@xxxxxxxxxxxxxxx>       *
* 福岡県遠賀郡水巻町 http://k-pup.sunaba.net/bbs1/ (暫定運用中)*
* gpg 8812 138A 0202 5C56 9C47  253A 5BD2 CE2F 51A0 98B9       *
****************************************************************

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
          ★目指せ! 億万長者!! 大富豪!!
        http://game.www.infoseek.co.jp/?svx=971122