[FUGSPBR] Eliminando anexos suspeitos com snort
Carlos Augusto Silva
carlos em tvcultura.com.br
Qui Maio 9 14:42:36 BRT 2002
Tudo bem... Essa regra eu já tenho implementada aqui no servidor. :)
Mas no lugar do content eu coloco .pif ?
Porque ai, se tiver uma palavra contendo pif num email por exemplo, ele não
vai barrar ?
Obrigado,
Carlos
----- Original Message -----
From: "opcode" <opcode em viavale.com.br>
To: <fugspbr em fugspbr.org>
Sent: Thursday, May 09, 2002 2:29 PM
Subject: Re: [FUGSPBR] Eliminando anexos suspeitos com snort
> Carlos.
>
> Uma maigo me passou essa configuracao mas naum cheguei a testar, sendo
> que nesta regra estah sendo barrado o virus KLEZ(aquele q andou
> visitando ateh nossa lista), o qual possui este conjunto de caracteres,
> entaum eh soh alterar pra .pif
>
>
> alert tcp any any -> $HOME_NET 25 (msg:"Virus - KLEZ no trafego de
> email";
> content:"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAA";
> classtype:misc-activity;
> rev:3; resp:rst_all;)
>
>
>
> ____________________
> Cristiano Maynart
> opcode em via.com.br
>
>
>
> Carlos Augusto Silva wrote:
> >
> > Pessoal,
> > Por Favor...
> > Será que alguém conhece alguma regra do Snort que barre emails com
anexos
> > suspeitos, tipo arquivos .pif
> > Sei que o rst_all corta a conexão TCP/IP quando encontra determinados
dados
> > num pacote.
> >
> > Obrigado,
> >
> > Carlos
> >
> > ______________________________________
> > fugspbr em fugspbr.org
> > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> ______________________________________
> fugspbr em fugspbr.org
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
>
______________________________________
fugspbr em fugspbr.org
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd