<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Apr 23, 2014 at 7:59 AM, Teo En Ming <span dir="ltr"><<a href="mailto:teo.en.ming@...11827..." target="_blank">teo.en.ming@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div>Hi,<br><br></div>In the previous (1st) Metasploit exploit attempt, there were 136 Snort alerts with the internet-facing IP address included in HOME_NET in snort.conf.<br>
<br></div>
In the 2nd Metasploit exploit attempt, I removed the internet-facing IP address from HOME_NET in snort.conf and there were 95 Snort alerts. <br>
<br></div>***So I don't think it is necessary to include internet-facing IP address in HOME_NET.*** Do you guys agree with this?<br><br></div>Here are the Snort alerts from the 2nd Metasploit exploit attempt:<br><br>

04/23-18:59:33.230809  [**] [1:29881:1] MALWARE-CNC Win.Trojan.Dexter CasinoLoader SQL injection [**] [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} <a href="http://171.207.9.232:35869" target="_blank">171.207.9.232:35869</a> -> <a href="http://192.168.1.146:80" target="_blank">192.168.1.146:80</a><br>

04/23-19:06:23.153624  [**] [1:20158:9] SERVER-WEBAPP Oracle GlassFish Server default credentials login attempt [**] [Classification: Attempted Administrator Privilege Gain] [Priority: 1] {TCP} <a href="http://171.207.9.232:47198" target="_blank">171.207.9.232:47198</a> -> <a href="http://192.168.1.147:80" target="_blank">192.168.1.147:80</a><br>
</div></div></div></blockquote><div><br><br></div></div></div><div class="gmail_extra">Teo you're not tapping your outside Internet connection... do you see how the destination IP in your alert that fired off only lists 192.168.1.146? That means you're only tapping the inside, which is after your edge firewall device. If your HOME_NET contains your outside Internet IP address, and you're tapping your outside Internet connection and feeding it to Snort, then the Snort alert would contain your public IP address as the destination, not your inside IP.<br>
<br>In fact, if you tap both outside and inside and feed them to Snort, you should get two alerts that fire off if your HOME_NET contains your outside IP and <a href="http://192.168.1.0/24">192.168.1.0/24</a><br><br></div>
<div class="gmail_extra">So you still don't have Snort configured in the way you expect it to be... tap your outside Internet and feed it to Snort, and you should see alerts fire off the way you're expecting them to<br>
<br>--<br></div><div class="gmail_extra">Eric<br><a href="https://www.linkedin.com/in/ericgearhart">https://www.linkedin.com/in/ericgearhart</a><br><br></div></div>