sistema comprometido?
Hola
Ayer instalé snort para detectar intrusiones, con soporte para mysql y con
ACID.
El archivo /etc/snort/snort.debian.conf lo tengo asi:
DEBIAN_SNORT_STARTUP=boot
DEBIAN_SNORT_HOME_NET="any"
DEBIAN_SNORT_OPTIONS=" -p"
DEBIAN_SNORT_INTERFACE="eth1"
DEBIAN_SNORT_STATS_RCPT="root"
DEBIAN_SNORT_STATS_TRESHOLD="1"
Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197
ataques 'misc-attac' y 132 'bad-unknow'.
unclassified 13 (4%)
attempted-recon 13 (4%
misc-activity 11 (3%)
bad-unknown 132 (36%)
misc-attack 197 (54%)
Resulta que la ip que mas se repite en esos dos ultimos ataque es 127.0.0.1.
Ejemplos de ataques:
BAD-TRAFFIC loopback traffic 2004-01-16 11:56:17 127.0.0.1:80
81.202.xx.xxx:1761 TCP
MS-SQL Worm propagation attempt 2004-01-16 14:25:36
127.0.0.1:80 81.202.xx.xxx:1254 TCP
la otra ip es la de la interfaz por la que salgo a internet.
Esos son los que mas se repiten y me ralla mucho el segundo porque en teoria
MS-SQL Worm solo afecta a equipos hasefroch.
Alguien sabe si esto es normal, si tengo algo mal en el archivo de
configuracion o si tengo el sistema comprometido?
Otra cosa, chkrootkit -q me da esto:
eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766])
pero en ifconfig no me sale que esta en modo promiscuo.
Eso lo hace snort? o no es normal que dhclient este por medio?
Gracias por el tiempo.
Reply to: