Snort 签名说明答案

【问题标题】：Snort signature explanationSnort 签名说明
【发布时间】：2020-05-09 07:52:21
【问题描述】：

SHELLCODE x86 OS 不可知 fnstenv geteip dword xor 解码器 [分类：检测到可执行代码] [优先级：1] {TCP} 192.168.202.50:60322 -> 192.168.22.252:445

1) 这个警报是什么意思？签名在寻找什么？如果它通过会发生什么？ 2）哪个ip是攻击者？

2) SYN 数据包上的数据 [分类：通用协议命令解码] [优先级：3] {TCP} 192.168.199.58:63000 -> 192.168.28.100:60000

1) 这个警报是什么意思？签名在寻找什么？如果它通过会发生什么？ 2) 此警报来自 snort 架构的哪个部分？

3)SPYWARE-PUT Hacker-Tool timbuktu pro 运行时检测 - udp 端口 407 [分类：杂项活动] [优先级：3] {UDP} 192.168.199.58:59173 -> 192.168.22.201:407 1）这个警报是什么意思？签名在寻找什么？如果它通过会发生什么？ 2）谁是宿主，谁是受害者？

4) snort: [1:3815:6] SMTP eXchange POP3 邮件服务器溢出尝试 [分类：杂项攻击] [优先级：2] {TCP} 192.168.199.58:60327 -> 192.168.21.151:25 1）这个警报是什么意思？签名在寻找什么？如果它通过会发生什么？ 2）谁是主机，谁是攻击者？

我进行了大量搜索，但无法理解或找到有关这些签名的任何详细信息。请帮忙

【问题讨论】：

snort.org/rule-docs/1-17322
它真的没有解释我需要的大部分东西。我看到了那个页面，但它并不能帮助我理解所有这些内容。
This event indicates that shellcode has been detected in network traffic 因此，如果该代码通过并被执行，您最终会得到一个后门。
它是否试图破坏任何特定部分？像 dol-ssl 什么的？那么谁是攻击者，谁是这里的受害者？其余的呢？如果可以请帮忙。
192.168.202.50:60322 似乎是攻击IP，它正试图利用Windows box 192.168.22.252:445 上的一些漏洞

标签： linux snort penetration-testing

【解决方案1】：

所以，让我在一个答案中构建这个：

This event indicates that shellcode has been detected in network traffic 因此，如果该代码通过并被执行，您最终会得到一个后门。
192.168.202.50:60322似乎是攻击IP，它试图利用Windows框192.168.22.252:445上的一些漏洞

192.168.199.58:63000 -> 192.168.28.100:60000 = 对此我不确定，因为端口 60000 可用于各种用途..

SPYWARE-PUT Hacker-Tool timbuktu pro 运行时检测 - udp 端口 407 = 这有点不言自明.. 192.168.199.58:59173 正在尝试将请求推送到 192.168.22.201 端口 407..

同样适用于 192.168.199.58:60327 试图利用内存溢出到 SMTP 上：192.168.21.151:25

但在所有这些情况下，似乎 192.168.199.58 可能已被利用，或者该框中的某些东西正在探测 LAN 网络..

我还会扫描 192.168.199.50 和 .58 以确定谁在这些盒子上，任何来自外国地址的当前连接，可能已经利用了这两个盒子..

【讨论】：