[Pluto-security] Snort alert

Beppe beppebz at tin.it
Thu Apr 10 19:51:22 CEST 2003


Ciao ragazzi...

spulciando fra i log di snort sono saltati fuori due alert del quale non
conosco la natura, uno in particolare non mi piace proprio. 
Chiedo quindi se qualcuno cortesemente mi aiuta nella loro comprensione.

//
Il primo: non mi piace proprio perchè è stato generato dal firewall
verso l'esterno ed è segnalato come backdoor. Per quelli che si
chiederanno come mai il firewall esce con porta sorgente "80" specifico
che lo stesso fornisce anche funzionalita di proxy-reverse in copertura
di 2 webserver.

[**] [1:159:3] BACKDOOR NetMetro File List [**]
[Classification: Misc activity] [Priority: 3]
04/05-12:53:08.051104 10.0.1.1:80 -> 67.116.79.99:5032
TCP TTL:64 TOS:0x0 ID:8930 IpLen:20 DgmLen:1237 DF
***AP*** Seq: 0xF4D0D6B7 Ack: 0x3CFD1F3F Win: 0x1920 TcpLen: 20

//
Il secondo, mi lascia meno "preoccupato",ma non capisco di che tipo di
alert si tratti. Questo in direzione del mailserver.

[**] [1:498:2] ATTACK RESPONSES id check returned root [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
04/05-00:45:37.414489 205.206.231.27:56603 -> 10.0.2.5:25
TCP TTL:45 TOS:0x0 ID:21785 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x72BDEC5C Ack: 0x8BD6EE3C Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 639730290 78351397

Voi che dite ? C'è da peroccuparsi oppure si tratta solo di qualche
falso posito?

Ciao e Grazie 
Beppe






More information about the pluto-security mailing list