suffis de le renommer de toute facon. Pour empecher ce genre de chose, il faut bloquer jabber tout cours. Dans la plupart des societes les besoins d'acces sont limites (http, ftp, smtp. etcc). Le meilleur pour tout ca, tout en proxy, pas de def GW sur les machines. Et meme dans ce cas la, un utilisateur malin y arrivera toujours.
On Thu, Apr 14, 2005 at 02:00:32PM +0200, Xavier Mertens wrote: > Essaie ca: > > alert tcp $HOME_NET any -> any 5222 (msg:"Executable send via Jabber!"; > flow:to_server,established; uricontent:".exe") > > Xavier > -- > / is the root of all UNIX. > > On Thu, 14 Apr 2005 [EMAIL PROTECTED] wrote: > > > Hello, > > > > Je suis assez nouveau dans snort et dans ces trucs la. On m'a demande de > > creer une regle pour etre notifie si un utilisateur de jabber essaie > > d'envoyer un fichier executable de windows en "DC SEND" J'ai besoin d'un > > peu d'aide la dessus. Pour essayer d'en savoir plus, j'ai lance une > > application jabber cliente avec plusieurs tentatives d'expedier un > > setup.exe a quelqu'un. J'ai mis ces traces tcpdump sur le site > > http://cjoint.com/?eomYVQuGVw > > > > Je crois qu'il y a moyen de faire quelque chose avec cette ligne: > > > > Request: <iq id='at4185' to='[EMAIL PROTECTED]' type='set'><query > > xmlns='jabber:iq:oob'><url>http://195.238.134.83:8088/1113474796/setup.exe</url></query></iq> > > > > Quelqu'un peut il m'aider? Me dire ou trouver une info la dessus qui soit > > comprehensible? > > > > Un tres tres tres tres grand merci, > > > > JD > > > > ------------------------------------------------------------- > > NetCourrier, votre bureau virtuel sur Internet : Mail, Agenda, Clubs, > > Toolbar... > > Web/Wap : www.netcourrier.com > > T?l?phone/Fax : 08 92 69 00 21 (0,34 ? TTC/min) > > Minitel: 3615 NETCOURRIER (0,16 ? TTC/min) > > > > _______________________________________________________ > > Linux Mailing List - http://www.unixtech.be > > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > > IRC: chat.unixtech.be:6667 - #unixtech > > NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech > > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > IRC: chat.unixtech.be:6667 - #unixtech > NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech -- -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: chat.unixtech.be:6667 - #unixtech NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
