<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] You caught them, what next?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>To add to your "I often email the isp's ...' thought, early last week one of my web servers sustained a 1.5 hour "attack" from some script kiddie on the Road Runner cable network.  I e-mailed RR's abuse/security folks but was told "Your logs must contain the following information in order for Road Runner to process them, included within the email...":</FONT></P>

<P><FONT SIZE=2>  Date of Incident</FONT>
<BR><FONT SIZE=2>  Time of Incident</FONT>
<BR><FONT SIZE=2>  Time Zone that logs are captured in</FONT>
<BR><FONT SIZE=2>  Source IP Address or Host Name</FONT>
<BR><FONT SIZE=2>  Destination IP Address or Host Name</FONT>
<BR><FONT SIZE=2>  Destination Port</FONT>
</P>

<P><FONT SIZE=2>I gave them *everything* in the logs but the TZ information because, unfortunately, neither Snort nor my web server capture the TZ information in their logs.  I did give them the TZ information in the e-mail I sent.  </FONT></P>

<P><FONT SIZE=2>And what did I get back?  The same message again.  This exchange went bacn-n-forth a couple of time, and each time I received the exact canned reply.  </FONT></P>

<P><FONT SIZE=2>Basically it appears that RR is not willing to do anything to their paying customers unless *all* the requested is included in the logs.  So I've given up on attempting to get the ISP to do anything, well at least RR.  </FONT></P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Tobias Rice [<A HREF="mailto:rice@...7669...">mailto:rice@...7669...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Wednesday, April 02, 2003 12:58 PM</FONT>
<BR><FONT SIZE=2>To: 'snort-users'</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] You caught them, what next?</FONT>
</P>
<BR>

<P><FONT SIZE=2> </FONT>
<BR><FONT SIZE=2>-----BEGIN PGP SIGNED MESSAGE-----</FONT>
<BR><FONT SIZE=2>Hash: SHA1</FONT>
</P>

<P><FONT SIZE=2>Good morning to you all!</FONT>
<BR><FONT SIZE=2>I hope that this isn't getting too far off topic, but since we all have this wonderful IDS in place, I'm sure you too are finding lots of people doing things they shouldn't. Which brings me to my question, what now?</FONT></P>

<P><FONT SIZE=2>Other than blocking them at the router, what action should be taken? I often email the isp's technical contact telling them what I found and for them to put an end to it. But is this useful? I've never gotten an email back, and I've sent plenty, which leads me to believe that no action has been taken, it went to the wrong person, or my email (which are pretty curt, see example) has offended the RP and was discarded. What are you all doing about your alerts?</FONT></P>

<P><FONT SIZE=2>[example email.]</FONT>
</P>

<P><FONT SIZE=2>To Whom It May Concern:</FONT>
<BR><FONT SIZE=2>One of your customers, 216.243.8.18 (host18.fastdial.net), made 69 attempts to fingerprint my network via NMAP on 2003-04-02 03:43:39 Pacific. Please see to it that this stops immediately. Thank you for your cooperation.</FONT></P>

<P><FONT SIZE=2>[/example email...]</FONT>
</P>

<P><FONT SIZE=2>Thanks in advance!</FONT>
</P>

<P><FONT SIZE=2>-----BEGIN PGP SIGNATURE-----</FONT>
<BR><FONT SIZE=2>Version: PGP 8.0</FONT>
</P>

<P><FONT SIZE=2>iQA/AwUBPoskmcNinOuDXR1bEQJxZQCgspaVA+RSZIzeg+hutqOUA/nI1roAn1jS</FONT>
<BR><FONT SIZE=2>g0POVPrAspbRMNYDs+rJiVnN</FONT>
<BR><FONT SIZE=2>=9C1U</FONT>
<BR><FONT SIZE=2>-----END PGP SIGNATURE-----</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by: ValueWeb: </FONT>
<BR><FONT SIZE=2>Dedicated Hosting for just $79/mo with 500 GB of bandwidth! </FONT>
<BR><FONT SIZE=2>No other company gives more support or power for your dedicated server</FONT>
<BR><FONT SIZE=2><A HREF="http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/" TARGET="_blank">http://click.atdmt.com/AFF/go/sdnxxaff00300020aff/direct/01/</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>