<div dir="ltr">The kind of traffic you are observing will continue to be there for a while. If you have your servers patched then the best thing would be to identify the IP ranges that are making noise and block them on your Firewall as I have seen these IP ranges generating inbound traffic towards several other networks as well. <div>
<br></div><div>Thanks</div><div><br><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 15, 2014 at 9:26 PM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
yes, and it will continue for a long time.
<div><br>
<div><div><div class="h5">
<div>On Apr 15, 2014, at 11:06 AM, Teo En Ming <<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...11827...</a>> wrote:</div>
<br>
</div></div><blockquote type="cite"><div><div class="h5">
<div dir="ltr">
<div>
<div>
<div>Hackers continue to probe my HTTPS, POP3S, and IMAPS ports for the heartbleed vulnerability after I have patched openssl in CentOS 6.5 and RHEL 7 Beta.<br>
<br>
</div>
Here are the Snort alerts:04/15-05:04:23.266586  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.188:52169/" target="_blank">183.60.243.188:52169</a> -> <a href="http://192.168.1.147:993/" target="_blank">
192.168.1.147:993</a><br>
04/15-05:04:23.510253  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.188:52169/" target="_blank">183.60.243.188:52169</a> -> <a href="http://192.168.1.147:993/" target="_blank">
192.168.1.147:993</a><br>
04/15-06:02:28.430789  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.189:58534/" target="_blank">183.60.243.189:58534</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/15-06:02:28.652725  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.189:58534/" target="_blank">183.60.243.189:58534</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/15-07:05:21.194097  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://101.226.17.243:36498/" target="_blank">101.226.17.243:36498</a> -> <a href="http://192.168.1.146:443/" target="_blank">
192.168.1.146:443</a><br>
04/15-07:05:21.452853  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://101.226.17.243:36498/" target="_blank">101.226.17.243:36498</a> -> <a href="http://192.168.1.146:443/" target="_blank">
192.168.1.146:443</a><br>
04/15-08:38:08.402528  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.208:24518/" target="_blank">180.153.198.208:24518</a> -> <a href="http://192.168.1.147:993/" target="_blank">
192.168.1.147:993</a><br>
04/15-08:38:08.647470  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.208:24518/" target="_blank">180.153.198.208:24518</a> -> <a href="http://192.168.1.147:993/" target="_blank">
192.168.1.147:993</a><br>
04/15-08:48:29.737142  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.195.140:29860/" target="_blank">180.153.195.140:29860</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/15-08:48:29.961892  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.195.140:29860/" target="_blank">180.153.195.140:29860</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
<br>
</div>
Regards,<br>
<br>
</div>
Teo En Ming<br>
<div><br>
<a href="http://seclists.org/nmap-dev/2014/q2/83" target="_blank"></a><br>
</div>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Tue, Apr 15, 2014 at 3:10 AM, Teo En Ming <span dir="ltr">
<<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>I have patched openssl on RHEL 7 Beta and rebooted.<span><font color="#888888"><br>
<br>
</font></span></div>
<span><font color="#888888">Teo En Ming<br>
</font></span></div>
<div>
<div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Tue, Apr 15, 2014 at 12:03 AM, Teo En Ming <span dir="ltr">
<<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>
<div>I think downloading OpenSSL 1.0.1g, compiling and installing it will break OpenSSH. I prefer to install by RPM.<br>
<br>
</div>
Regards,<br>
<br>
</div>
Teo En Ming<br>
</div>
<div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Mon, Apr 14, 2014 at 11:45 PM, Nicholas Mavis (nmavis)
<span dir="ltr"><<a href="mailto:nmavis@...589..." target="_blank">nmavis@...589...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>You can download OpenSSL 1.0.1g and compile it.</div>
<div><br>
</div>
<div>Nick</div>
<div><br>
</div>
<span>
<div style="border-right:medium none;padding-right:0in;padding-left:0in;padding-top:3pt;text-align:left;font-size:11pt;border-bottom:medium none;font-family:Calibri;border-top:#b5c4df 1pt solid;padding-bottom:0in;border-left:medium none">

<div><span style="font-weight:bold">From: </span>Teo En Ming <<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...14459.....</a>><br>
</div>
<span style="font-weight:bold">Date: </span>Monday, April 14, 2014 at 11:40 AM<br>
<span style="font-weight:bold">To: </span>nmavis <<a href="mailto:nmavis@...589..." target="_blank">nmavis@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...1844...ourceforge.net</a>>, Teo En Ming <<a href="mailto:teo.en.ming@...5119...827..." target="_blank">teo.en.ming@...11827...</a>><br>

<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Suspicious hacker activity detected?<br>
</div>
<div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div>
<div>
<div><br>
</div>
Dear Nicholas Mavis,<br>
<br>
I have patched openssl on Centos 6.5 x86_64. However, I cannot patch openssl on my RHEL 7 Beta because I don't have a Red Hat Network subscription. What do you think can be done?<br>
<br>
</div>
Thank you.<br>
<br>
</div>
Regards,<br>
<br>
Teo En Ming<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Mon, Apr 14, 2014 at 11:13 PM, Nicholas Mavis (nmavis)
<span dir="ltr"><<a href="mailto:nmavis@...589..." target="_blank">nmavis@...589...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>Yes, this is a sign and it also looks like you are vulnerable.</div>
<div><br>
</div>
<div>Nick</div>
<div><br>
</div>
<span>
<div style="border-right:medium none;padding-right:0in;padding-left:0in;padding-top:3pt;text-align:left;font-size:11pt;border-bottom:medium none;font-family:Calibri;border-top:#b5c4df 1pt solid;padding-bottom:0in;border-left:medium none">

<span style="font-weight:bold">From: </span>Teo En Ming <<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...11827...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, April 14, 2014 at 11:06 AM<br>
<span style="font-weight:bold">To: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...1844...ourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] Suspicious hacker activity detected?<br>
</div>
<div>
<div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div>
<div>
<div>Hi,<br>
<br>
</div>
My HTTPS web server, POP3S and IMAPS ports were probed for the OpenSSL heartbleed vulnerability without my knowledge and authorization. Is it a sign of hacker activity? Please look at the Snort alerts below.<br>
<br>
[root@...274... snort]# grep heartbeat snort.fast | grep -v 161.69.31.4<br>
04/14-04:34:45.168194  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.146:443/" target="_blank">192.168.1.146:443</a> -> <a href="http://185.35.61.19:41201/" target="_blank">
185.35.61.19:41201</a><br>
04/14-09:31:58.763823  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.189:46524/" target="_blank">183.60.243.189:46524</a> ->
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a><br>
04/14-09:31:58.764609  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a> -> <a href="http://183.60.243.189:46524/" target="_blank">
183.60.243.189:46524</a><br>
04/14-09:31:59.025988  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.243.189:46524/" target="_blank">183.60.243.189:46524</a> ->
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a><br>
04/14-09:36:47.578766  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.244.46:55346/" target="_blank">183.60.244.46:55346</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/14-09:36:47.579841  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.147:995/" target="_blank">192.168.1.147:995</a> -> <a href="http://183.60.244.46:55346/" target="_blank">
183.60.244.46:55346</a><br>
04/14-09:36:47.775693  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.244.46:55346/" target="_blank">183.60.244.46:55346</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/14-09:36:47.775693  [**] [1:30512:5] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://183.60.244.46:55346/" target="_blank">183.60.244.46:55346</a> -> <a href="http://192.168.1.147:995/" target="_blank">
192.168.1.147:995</a><br>
04/14-10:13:25.031989  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://101.226.19.76:31223/" target="_blank">101.226.19.76:31223</a> -> <a href="http://192.168.1.146:443/" target="_blank">
192.168.1.146:443</a><br>
04/14-10:13:25.032841  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.146:443/" target="_blank">192.168.1.146:443</a> -> <a href="http://101.226.19.76:31223/" target="_blank">
101.226.19.76:31223</a><br>
04/14-10:13:25.262897  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://101.226.19.76:31223/" target="_blank">101.226.19.76:31223</a> -> <a href="http://192.168.1.146:443/" target="_blank">
192.168.1.146:443</a><br>
04/14-10:13:25.262897  [**] [1:30512:5] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://101.226.19.76:31223/" target="_blank">101.226.19.76:31223</a> -> <a href="http://192.168.1.146:443/" target="_blank">
192.168.1.146:443</a><br>
04/14-11:51:26.034725  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.190:25521/" target="_blank">180.153.198.190:25521</a> ->
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a><br>
04/14-11:51:26.035167  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a> -> <a href="http://180.153.198.190:25521/" target="_blank">
180.153.198.190:25521</a><br>
04/14-11:51:26.232356  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.190:25521/" target="_blank">180.153.198.190:25521</a> ->
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a><br>
04/14-11:51:26.232356  [**] [1:30512:5] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.190:25521/" target="_blank">180.153.198.190:25521</a> ->
<a href="http://192.168.1.147:993/" target="_blank">192.168.1.147:993</a><br>
04/14-12:01:46.374268  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.219:50214/" target="_blank">180.153.198.219:50214</a> ->
<a href="http://192.168.1.147:995/" target="_blank">192.168.1.147:995</a><br>
04/14-12:01:46.375062  [**] [1:30516:6] SERVER-OTHER TLSv1.1 large heartbeat response - possible ssl heartbleed attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://192.168.1.147:995/" target="_blank">192.168.1.147:995</a> -> <a href="http://180.153.198.219:50214/" target="_blank">
180.153.198.219:50214</a><br>
04/14-12:01:46.597640  [**] [1:30524:1] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.219:50214/" target="_blank">180.153.198.219:50214</a> ->
<a href="http://192.168.1.147:995/" target="_blank">192.168.1.147:995</a><br>
04/14-12:01:46.597640  [**] [1:30512:5] SERVER-OTHER OpenSSL TLSv1.1 heartbeat read overrun attempt [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP}
<a href="http://180.153.198.219:50214/" target="_blank">180.153.198.219:50214</a> ->
<a href="http://192.168.1.147:995/" target="_blank">192.168.1.147:995</a><br>
<br>
</div>
Yours sincerely,<br>
<br>
</div>
Teo En Ming<br>
</div>
</div>
</div>
</div>
</div>
</span></div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</span></div>
</blockquote>
</div>
<br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div></div></div>
------------------------------------------------------------------------------<br>
Learn Graph Databases - Download FREE O'Reilly Book<br>
"Graph Databases" is the definitive new guide to graph databases and their<br>
applications. Written by three acclaimed leaders in the field,<br>
this first edition is now available. Download your free book today!<br>
<a href="http://p.sf.net/sfu/NeoTech_______________________________________________" target="_blank">http://p.sf.net/sfu/NeoTech_______________________________________________</a><br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</blockquote>
</div>
<br>
</div>
</div>

<br>------------------------------------------------------------------------------<br>
Learn Graph Databases - Download FREE O'Reilly Book<br>
"Graph Databases" is the definitive new guide to graph databases and their<br>
applications. Written by three acclaimed leaders in the field,<br>
this first edition is now available. Download your free book today!<br>
<a href="http://p.sf.net/sfu/NeoTech" target="_blank">http://p.sf.net/sfu/NeoTech</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>