On Wed, 5 Nov 2003 (20:54), paolino wrote:
(Com'è che il messaggio è arrivato solo oggi 9 Nov?)
> [**] [1:648:4] SHELLCODE x86 NOOP [**]
I presunti attacchi 'shellcode' segnalati da snort sono spesso dei falsi
positivi in quanto i file che possono transitare in rete (download /
upload) ingannano spesso snort.
> 10 192.168.3.254 192.168.3.9 WEB-CGI calendar access
Se non hai installato / non vuoi CGI questo potrebbe essere più
interessante. Proviene inoltre da quello che di solito è il gateway...
> Portscans performed to/from HOME_NET
> ===================================
> # of
> attacks from
> ===================================
> 4 192.168.3.9
Anche questo è sicuramente più interessante, ti conviene controllare nei
log di snort (se lo riporta) verso quale indirizzo è stato fatto il
portscan.
In caso di server compromesso, ad ogni modo, mantenere la macchina sulla
rete è _altamente_ sconsigliato.
Ciao,
Daniele
--
Free your mind
GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942
Attachment:
signature.asc
Description: Digital signature