https://slinkov.ru/openforum/vsluhforumID10/4130.html Поднял snort с дефолтными рулесами, скачанными через oinkmaster. Параноидален до невозможности. Самым страшным злом считает base64 и почти в каждом входящем письме видит исполняемый код типа такого:<br><br>SHELLCODE x86 NOOP"; content:"&#124;90 90 90 90 90 90 90 90 90 90 90 90 90 90<br><br> Нет ли на просторах интернета вменяемого набора правил для защиты почтового релея не от мнимых, а от более-менее подлинных угроз? <br> https://slinkov.ru/openforum/vsluhforumID10/4130.html#5 Mon, 29 Oct 2012 08:39:16 GMT &gt;[оверквотинг удален]<br>&gt; В дефолтном snort.conf есть параметр.<br>&gt; portvar portvar SHELLCODE_PORTS !80 <br>&gt; Меняю на [0:24,26:79,81:65535].<br>&gt; Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.<br>&gt; Однако алерты не прекращаются: <br>&gt; [**] [1:1394:9] SHELLCODE x86 NOOP [**] <br>&gt; [Classification: Executable code was detected] [Priority: 1] <br>&gt; 02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -&gt; 81.xxx.xxx.xxx:25 <br>&gt; TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862 <br>&gt; ***AP*** Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20 <br><br> только что закончил с проблемой , редактирую файл в сторонней папке, потом копирую в системную, изменения работают, uac мозги е....<br><br><br>&gt; Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS <br>&gt; alert ip $EXTERNAL_NET any -&gt; $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"&#124;90 <br>&gt; 90 90 90 90 90 90 90 90 90 90 90 <br>&gt; 90 90&#124;"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;) <br>&gt; Руками вбиваю эту переменную во все правил https://slinkov.ru/openforum/vsluhforumID10/4130.html#4 Wed, 14 Oct 2009 04:51:03 GMT Аналогично! парюсь уже несколько дней..<br><br>делал<br>portvar SHELLCODE_PORTS !80 !25<br>и<br>portvar SHELLCODE_PORTS [!80,!25]<br><br>и в правилах ставил исключение<br><br>alert ip $EXTERNAL_NET any -&gt; $HOME_NET !25 (msg:"SHELLCODE x86 NOOP"; content:"&#124;90 90 90 90 90 90 90 90 90 90 90 90 90 90&#124;"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)<br><br>и всяко иначе.. один фиг не помогает<br> https://slinkov.ru/openforum/vsluhforumID10/4130.html#3 Mon, 09 Feb 2009 18:33:12 GMT Ковыряю snort дальше. Задача - отучить это чудо генерить алерты SHELLCODE на 25 порту.<br><br>В дефолтном snort.conf есть параметр.<br><br>portvar portvar SHELLCODE_PORTS !80<br><br>Меняю на [0:24,26:79,81:65535].<br><br>Перезапускаю. В логах вижу, что переменная SHELLCODE_PORTS изменилась как надо.<br>Однако алерты не прекращаются:<br><br><br>[**] [1:1394:9] SHELLCODE x86 NOOP [**]<br>[Classification: Executable code was detected] [Priority: 1] <br>02/09-20:56:53.928938 209.xxx.xxx.xxx:36160 -&gt; 81.xxx.xxx.xxx:25<br>TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:2862<br>***AP*** Seq: 0xA9B4FDC5 Ack: 0x3F5F59F3 Win: 0x456 TcpLen: 20<br><br><br>Лезу в shellcode.rules. Там нет и намека на SHELLCODE_PORTS<br><br>alert ip $EXTERNAL_NET any -&gt; $HOME_NET all (msg:"SHELLCODE x86 NOOP"; content:"&#124;90 90 90 90 90 90 90 90 90 90 90 90 90 90&#124;"; reference:arachnids,181; classtype:shellcode-detect; sid:648; rev:9;)<br><br>Руками вбиваю эту переменную во все правила:<br><br>alert ip $EXTERNAL_NET any -&gt; $HOME_NET $SHELLCODE_PORTS (msg:"SHELLCODE x86 NOOP"; content:" https://slinkov.ru/openforum/vsluhforumID10/4130.html#2 Mon, 09 Feb 2009 08:38:59 GMT &gt;Рекомендация в данном случае крайне простая - отключайте по одному правила, которые <br>&gt;Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без <br>&gt;этого никуда - потом всё войдёт в нормальную колею. Собственно, задача <br>&gt;snort в том и состоит, чтобы трахать мозг админу :) <br><br>Оно как бы и понятно, но есть ощущение, что этот велосипед давно уже изобрели, и есть где-то устоявшаяся за годы практика скрещивания snort'а c smtp-сервером. <br><br> https://slinkov.ru/openforum/vsluhforumID10/4130.html#1 Mon, 09 Feb 2009 08:04:26 GMT &gt;страшным злом считает base64 и почти в каждом входящем письме видит <br>&gt;исполняемый код типа такого: <br>&gt;<br>&gt;SHELLCODE x86 NOOP"; content:"&#124;90 90 90 90 90 90 90 90 90 <br>&gt;90 90 90 90 90 <br>&gt;<br>&gt; Нет ли на просторах интернета вменяемого набора правил для защиты почтового <br>&gt;релея не от мнимых, а от более-менее подлинных угроз? <br><br>"Подлинность" угрозы - понятие более чем относительное. Систем, которые бы гарантированно отличали атаки от легального траффика, равно как и систем, которые бы отлавливали 100% спама, не существует. Весь вопрос в параноидальности конкретного админа в конкретной ситуации, а здесь каких-то "стандартных" правил быть не может.<br><br>Рекомендация в данном случае крайне простая - отключайте по одному правила, которые Вы считаете излишне жёсткими. Несколько дней он Вам мозг потрахает, без этого никуда - потом всё войдёт в нормальную колею. Собственно, задача snort в том и состоит, чтобы трахать мозг админу :)<br><br><br>b.r.<br>