user@linuxtrack:~ $ python -c 'print("Soyez les bienvenus !")'
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 03-11-2014 12:47:27
- koorosh
- Membre
Alert snort [Python-urllib] comment le résoudre ?
Bonjour à tous !
Aujourd'hui, je me permets de vous poster mon souci qui cible sur la gestion d'une alerte snort.
Depuis quelque temps, j'ai une alerte au sujet de python-urllib qui commence vraiment à surcharger ma petite vm de snort.
Voila la signature : snort: "ET POLICY Python-urllib/ Suspicious User Agent"
Payload:
000 : 47 45 54 20 2F 3F 67 66 65 5F 72 64 3D 63 72 26 GET /?gfe_rd=cr&
010 : 65 69 3D 52 44 56 58 56 4D 53 73 44 73 48 6B 2D ei=RDVXVMSsDsHk-
020 : 67 61 36 38 34 43 6F 44 67 20 48 54 54 50 2F 31 ga684CoDg HTTP/1
030 : 2E 31 0D 0A 41 63 63 65 70 74 2D 45 6E 63 6F 64 .1..Accept-Encod
040 : 69 6E 67 3A 20 69 64 65 6E 74 69 74 79 0D 0A 48 ing: identity..H
050 : 6F 73 74 3A 20 77 77 77 2E 67 6F 6F 67 6C 65 2E ost: www.google.
060 : 66 72 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 fr..Connection:
070 : 63 6C 6F 73 65 0D 0A 55 73 65 72 2D 41 67 65 6E close..User-Agen
080 : 74 3A 20 50 79 74 68 6F 6E 2D 75 72 6C 6C 69 62 t: Python-urllib
090 : 2F 32 2E 36 0D 0A 0D 0A /2.6....voici la règle snort :
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET POLICY Python-urllib/ Suspicious User Agent"; flow:established,to_server; content:"User-Agent|3a| Python-urllib/"; nocase; http_header; reference:url,www.useragentstring.com/pages/useragentstring.php; classtype:attempted-recon; sid:2013031; rev:1;)Pour l'instant j'ai commenté cette règle mais d’après mes recherches, python-urllib check des url sur les serveurs de google pour recolter des informations.
mes connaissances en python sont limités et c'est pour cela que je fais appel à votre aide pour m'éclairer sur cet outils qui est dans les librairies de python.
Cdlt et Amicalement,
koorosh
Dernière modification par koorosh (03-11-2014 12:48:45)
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne
#2 03-11-2014 14:10:53
- IceF0x
- #! Gourou Linux
Re : Alert snort [Python-urllib] comment le résoudre ?
Question complémentaire ?
As-tu un lecteur de flux rss en python ou dans ton conky ?
As-tu une alerte du nombre de mail gmail en python ou dans conky ?
Ou tout autre script python utilisant la lib.
Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D
Hors ligne
#3 03-11-2014 14:19:17
- koorosh
- Membre
Re : Alert snort [Python-urllib] comment le résoudre ?
oui effectivement je dispose d'un lecteur de flux rss en python qui check les news de bugtraq et securityfocus mais par contre pas d'alerte gmail 
.
Car après je sais pas si il y a des logs qui sont crée sur ce lib .
Dernière modification par koorosh (03-11-2014 14:19:36)
"Les paroles peuvent être plus tranchantes qu'un sabre affûté" écrit par Omar Khayam poète perse.
Hors ligne
#4 03-11-2014 14:47:02
- IceF0x
- #! Gourou Linux
Re : Alert snort [Python-urllib] comment le résoudre ?
Désactive le lecteur et regarde si les log continuent, ensuite tu pourras adapter ton log.
Utiliser des logiciels propriétaires, c'est comme les plats préparés, on est incapable de dire les conservateurs qu'ils contiennent, on dira toujours que c'est bon, mais ça ne remplacera jamais le repas fait maison par sa maman.
]:D #! Crunchbang & Archlinux GNU/Linux User ]:D
Hors ligne
Pages : 1