Snort IDS & Loopback

Lenny_97c006 · 8. November 2019 um 16:49

Hallo zusammen,
ich versuche seit einer Weile, den Internet-Traffic meines (Debian-)Einzelsystems mittels Snort IDS unter die Lupe zu nehmen, was im großen und ganzen auch gut klappt. Bei einem Alert-Typ bin ich mir mit meinen weniger umfangreichen Netzwerkkenntnissen nicht so sicher. Nämlich Angelegenheiten wie dieser hier:

01/01-17:12:25.026318 [\*\*] [1:527:8] BAD-TRAFFIC same SRC/DST [\*\*]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 127.0.0.1:32778 -\> 127.0.0.1:111

(der Portmapper ist übrigens deaktiviert)
Wie ist sowas zu interpretieren: False positive? Versuchte da wer, sich auf meinem System einzunisten? Oder hat es jemand sogar schon geschafft und versucht nun krampfhaft, den 111er freizuschalten? (Ich habe solche Meldungen doch recht regelmäßig im Alert-File) Da könnte ich mal etwas Interpretationshilfe gebrauchen- wie sehen erfahrenere Admins sowas: Undramatisch, oder sollten weitergehende Maßnahmen getroffen werden? (chkrootkit und f-prot vermelden übrigens nichts…)

Grüße
Len

Sebastian · 8. November 2019 um 16:51

Hallo,

01/01-17:12:25.026318 [**] [1:527:8] BAD-TRAFFIC same SRC/DST
[**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
127.0.0.1:32778 -> 127.0.0.1:111

Da wird das Loopback-Interface genutztz, das ist unter Un*x nichts ungewöhnliches.

(der Portmapper ist übrigens deaktiviert)

Hu? Naja, da *versucht* wohl jemand Kontakt aufzubauen.

Wie ist sowas zu interpretieren: False positive?

Vermutlich.

Versuchte da
wer, sich auf meinem System einzunisten?

Da sehe ich kein Indiz für.

Oder hat es jemand
sogar schon geschafft und versucht nun krampfhaft, den 111er
freizuschalten?

Da sehe cih keinen Anhalt für: ist der Port 111 denn „ansprechbar“?

(Ich habe solche Meldungen doch recht
regelmäßig im Alert-File) Da könnte ich mal etwas
Interpretationshilfe gebrauchen

Ich kenne Deine Gegebenheiten nicht, aber das scheint mir vollkommen undramatisch.

HTH,

Sebastian

Lenny_97c006 · 8. November 2019 um 16:52

Hallo Sebastian,
das sind ja schonmal beruhigende Nachrichten.

Versuchte da
wer, sich auf meinem System einzunisten?

Da sehe ich kein Indiz für.

Gut- aber was könnte denn beispielsweise ein Indiz für soetwas sein?
(Nur ein anderer Alert von Snort?)

Oder hat es jemand
sogar schon geschafft und versucht nun krampfhaft, den 111er
freizuschalten?

Da sehe cih keinen Anhalt für: ist der Port 111 denn
„ansprechbar“?

Laut Sygate’s online-scan zumindest nicht…
Allerdings steigern sich die Aktivitäten inzwischen:

teilweise bricht eine regelrechte Flut dieser Alerts los
das seltsamerweise zu bestimmten Tageszeiten
was nicht immer, aber immer öfter mit merkwürdigen Verbindungsversuchen einher geht (Ethereal fängt da öfters einiges auf, bevor ich überhaupt eine Browser-Instanz geöffnet habe, allerdings mit RST,ACK
andere Ports eifrig werden gecheckt (707, 934,…)
beim Starten des Konqueror ohne jede Netzverbindung gibt es den gleichen Alarm

Mein DSL-Modem morste bislang bei alldem keine Aktivität nach draußen, aber auch das scheint sich langsam zu ändern- sprich: Serienalerts gingen gestern auch mit regem Traffic einher. Ließ sich zwar durch kurzfristigen Log-Out beheben, macht mir allerdings trotzdem ein eher ungutes Bauchgefühl…

Grüße & Dank einstweilen
Len

Sebastian · 8. November 2019 um 16:52

Hallo,

das sind ja schonmal beruhigende Nachrichten.

Versuchte da
wer, sich auf meinem System einzunisten?

Da sehe ich kein Indiz für.

Gut- aber was könnte denn beispielsweise ein Indiz für soetwas
sein?

Hmm, ich kenne nicht alle Alerts auswendig: für einen brauchbar konfigurierten Einzelplatzrechner ist snort wenn Du mich fragst in etwa so sinnvoll wie ein Fuchsschwanz an der Antenne eines Mantas. Oder eine unter Windows-Nutzern gerne gehätschlte „Personal Firewall“.

Da sehe cih keinen Anhalt für: ist der Port 111 denn
„ansprechbar“?

Laut Sygate’s online-scan zumindest nicht…

Wobei ich da aher andere Werkzeuge wählen würde …

Allerdings steigern sich die Aktivitäten inzwischen:

teilweise bricht eine regelrechte Flut dieser Alerts los

In welchen Momenten? Eventuell würde man mit Ethereal da mehr erreichen können

das seltsamerweise zu bestimmten Tageszeiten

irgendwelche cron-jobs? Zu was für Tagesziuten?

was nicht immer, aber immer öfter mit merkwürdigen
Verbindungsversuchen einher geht (Ethereal fängt da öfters
einiges auf, bevor ich überhaupt eine Browser-Instanz geöffnet
habe, allerdings mit RST,ACK

„Merkwürdige Verbindunsversuche“ und „fängt einiges auf“ sind zwar bequeme und unverbindliche Formulierungen, für die Fehlersuche kann man sie aber gleich in dei Tonne treten.

andere Ports eifrig werden gecheckt (707, 934,…)

„eifrig gecheckt“ ==> Tonne

beim Starten des Konqueror ohne jede Netzverbindung gibt es
den gleichen Alarm

Vermutlich versucht konqueror, lokale „Freigaben“ zu finden und zu mounten. Keine Ahnung, ich nutze den nicht .

Mein DSL-Modem morste bislang bei alldem keine Aktivität nach
draußen, aber auch das scheint sich langsam zu ändern- sprich:

Serienalerts

==> Tonne

gingen gestern auch mit regem Traffic einher.
Ließ sich zwar durch kurzfristigen Log-Out beheben, macht mir
allerdings trotzdem ein eher ungutes Bauchgefühl…

Ich habe eher das Gefühl, daß Du nicht zur Zielgruppe der Snort-Anwender gehörstt. Ist Dein System eigentlich mit allen Sicherheitsupdates des Herstellers/Distributors versehen?

Gruß,

Sebastian

Lenny_97c006 · 8. November 2019 um 16:55

Moin,

„Merkwürdige Verbindunsversuche“ und „fängt einiges auf“ sind
zwar bequeme und unverbindliche Formulierungen, für die

Genau: Weil es mir jetzt und hier (noch) nicht um irgendeine detaillierte Analyse geht. Schätze mal, du hast auch was gegen Leute, die auf einen vagen Laienverdacht hin alles mit fetten Listings zumüllen.

Ich habe eher das Gefühl, daß Du nicht zur Zielgruppe der
Snort-Anwender gehörstt.

Hatte ich sowas behauptet?
Anyway…

Greetz
Len

Anonym_95ec2611811a · 8. November 2019 um 16:57

Hallo Lenny,

01/01-17:12:25.026318 [**] [1:527:8] BAD-TRAFFIC same SRC/DST
[**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
127.0.0.1:32778 -> 127.0.0.1:111

(der Portmapper ist übrigens deaktiviert)

offenbar Anfragen des localhost an Portmap. Möglichkeit: tcpdump -vvv -i lo machen doer irgendnen anderen Sniffer. Andere Möglichkeit: überlegen: ist vielleicht ein Dienst installiert, der Portmap nutzt? vielleicht NFS, oder ne komische Druckkonfiguration? einfach mal netstat -atup oder -an befragen.
Ansonsten: Auf Grund der wenigen Angaben (läuft irgendein Proxy, Dienst, Masquerading?) wär natürlich auch tatsächlich ein Spitzubube denkbar.