<p dir="ltr">Snort isn't telling you that you are vulnerable.  Its telling you that someone made an attempt, which you did when you asked McAfee to scan your ip.  That's up to the result of the scan from McAfee, if its true or false. </p>

<p dir="ltr">The rules tell you that they are attempts.  That's all. </p>
<div class="gmail_quote">On Apr 13, 2014 1:12 PM, "Teo En Ming" <<a href="mailto:teo.en.ming@...11827...">teo.en.ming@...11827...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><div>Hi,<br><br></div>I went to the following <a href="http://mcafee.com" target="_blank">mcafee.com</a> site to check my website for the heartbleed vulnerability.<br><br><a href="http://tif.mcafee.com/heartbleedtest" target="_blank">http://tif.mcafee.com/heartbleedtest</a><br>

<br></div><div>Snort rules which detect the heartbleed vulnerability were fired. These snort rules come from the Snort community rules which I added a short while ago.<br><br></div><div>The Snort alerts which are generated for the heartbleed vulnerability are as follows:<br>

<br>04/14-02:54:29.148070  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} <a href="http://161.69.31.4:50847" target="_blank">161.69.31.4:50847</a> -> <a href="http://192.168.1.146:443" target="_blank">192.168.1.146:443</a><br>

04/14-02:54:29.148663  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} <a href="http://192.168.1.146:443" target="_blank">192.168.1.146:443</a> -> <a href="http://161.69.31.4:50847" target="_blank">161.69.31.4:50847</a><br>

04/14-02:54:29.354600  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} <a href="http://161.69.31.4:50847" target="_blank">161.69.31.4:50847</a> -> <a href="http://192.168.1.146:443" target="_blank">192.168.1.146:443</a><br>

04/14-02:54:29.354600  [**] [1:30512:5] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} <a href="http://161.69.31.4:50847" target="_blank">161.69.31.4:50847</a> -> <a href="http://192.168.1.146:443" target="_blank">192.168.1.146:443</a><br>

<br></div><div>What are the remedial steps to fix the heartbleed vulnerability on my web server?<br><br></div><div>Thank you very much.<br><br></div><div>Teo En Ming<br></div><div><br></div><br></div>
<br>------------------------------------------------------------------------------<br>
Put Bad Developers to Shame<br>
Dominate Development with Jenkins Continuous Integration<br>
Continuously Automate Build, Test & Deployment<br>
Start a new project now. Try Jenkins in the cloud.<br>
<a href="http://p.sf.net/sfu/13600_Cloudbees" target="_blank">http://p.sf.net/sfu/13600_Cloudbees</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div>