snortattack

Modifica il file sp_react.c per redirigere i client ad un indirizzo specifico:

alla riga 306 editare il valore della variabile tmp_buf1[]

HTTP/1.1 302 FOUND\r\nLocation:http://google.com\r\nServer: Snort/2.8.3.2\r\nConnection:Close\r\nContent-Type: text/html\r\n\r\n

*google.com è il sito a cui redirigere i client

rules di esempio:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"REACT RULES";flow: to_server,established;content:"example.com";classtype: policy-violation;sid:9999; react: block, msg ;)

*example.com è il sito da bloccare

Enjoy

Snortattack TEAM!

Nicola Mondinelli,

ha aggiornato il documento IPS_react.pdf

tramite il download di questa patch è possibile fare redirezionare il client su una pagina che abbiamo impostato precedentemente.

Stay Tuned!

Snortattack TEAM!

Update about the worm Conficker "C" :

are you infected? : link

snort.org vrt rules : link

emergingthreats snort rules: link

Stay update!

Snortattack TEAM.

Aggiornamenti sulla situazione del worm Conficker "C" :

come scoprire se infetti : link

snort.org vrt rules : link

emergingthreats snort rules: link

Tieniti aggiornato !

Snortattack TEAM.

Il worm Conficker,

che lo scorso ottobre è stato tra i primi malware ad approfittare di una grave vulnerabilità zero-day di Windows, continua a diffondersi a ritmi allarmanti.

Il primo d'aprile è previsto l’arrivo della versione più aggiornata del malware.

 Link:

scanner -> http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

documentazione -> https://www.honeynet.org/node/394

 SNORT rules:

http://nebula.carnivore.it/

http://doc.emergingthreats.net/bin/view/Main/2009201

http://doc.emergingthreats.net/bin/view/Main/2009200

Stay Tuned!

Snortattack TEAM!