被 snort 整蠱了
因為有些東西想測試,早幾天在自己的伺服器裝了 snort,結果卻是被它玩了一頓。昨天看看 snort 寄給我的 mail,有大量 robots.txt access:
# of from to method ========================================================================= xx xxx.xxx.xxx.xxx 202.134.73.141 WEB-MISC robots.txt access xx xxx.xxx.xxx.xxx 202.134.73.141 WEB-MISC robots.txt access ......
OK, 讀 robots.txt 是很正常的一回事,很清楚那是 false alarm,但前幾天的 log 都有兩個不尋常的項目:
# of from to method ========================================================================= xx xxx.xxx.xxx.xxx 202.134.73.141 WEB-PHP Mambo upload.php access xx xxx.xxx.xxx.xxx 202.134.73.141 WEB-PHP IGeneric Free Shopping Cart page.php access
不單止數目都很高,最要命的是:全部都是我家中的 IP 地址發出的?因為 ISP 的緣故,家中的 IP 每天會改至少一次,但 log 裏的 IP address 和日期全部吻合!那時心就慌了,會不會是我的電腦被種了木馬而自己不知道?特別是近幾天都在用 flock,不會是被人借 flock 入侵吧?想想不對頭,立即將 flock 關掉。(現在想來,自己也覺自己可笑)
之後再看,還有更令我膽顫心驚的:
# of from to method ========================================================================= xx xxx.xxx.xxx.xxx 202.134.73.141 MISC rsyncd overflow attempt
令我嚇壞的是,剛好我在那一天用過 rsync。其它日子沒有用過 rsync,也沒有這一句。第一個念頭:我的電腦被種了 keylogger,所以我用過甚麼服務全被人知道了?所有戶口的密碼怎麼辦?完了。
過一會後,再定下心神,想想有沒有別的可能性。抱着最後一絲希望,去看看這些警告代表甚麼意思。在 有關的 snort 規則中的全文是:
妖~!果然全部是 false alarm。上面設定的意思是,只要詢問 web server 的 URL 中含有 “/page.php” 或 “/upload.php”,就會發出警報。這算甚麼?這世界上有 page.php 或 upload.php 的軟件何其多!恐怕 snort 還有不少這類漁翁撒網的規則吧。
而且 email 中完全不會提任何事件有多嚴重,不會分辨甚麼是 activity、甚麼是 attack,而且將 robots.txt 歸在比 IIS unicode attack 還重要的分類…… 我不知道預設用這種爛設定是為了讓商業軟件有生存空間,還是為了要提醒人必須更改設定以適合自己的需要,但這種爛設定真是會嚇壞新手的。不論如何,這幾句立即就被我用 suppress 去掉了:
suppress gen_id 1, sig_id 1852 suppress gen_id 1, sig_id 2077 suppress gen_id 1, sig_id 2410
總之就像 Vista 的 UAC 一樣,日日都是狼來了。