[Pluto-security] Snort alert
Beppe
beppebz at tin.it
Thu Apr 10 19:56:06 CEST 2003
> //
> Il primo: non mi piace proprio perchè è stato generato dal firewall
> verso l'esterno ed è segnalato come backdoor. Per quelli che si
> chiederanno come mai il firewall esce con porta sorgente "80" specifico
> che lo stesso fornisce anche funzionalita di proxy-reverse in copertura
> di 2 webserver.
>
> [**] [1:159:3] BACKDOOR NetMetro File List [**]
> [Classification: Misc activity] [Priority: 3]
> 04/05-12:53:08.051104 10.0.1.1:80 -> 67.116.79.99:5032
> TCP TTL:64 TOS:0x0 ID:8930 IpLen:20 DgmLen:1237 DF
> ***AP*** Seq: 0xF4D0D6B7 Ack: 0x3CFD1F3F Win: 0x1920 TcpLen: 20
mmmm... scusate dimenticavo un particolare: il report qui di sopra è
stato generato per del traffico originato dal firewall; snort è in
esecuzione sulla stessa macchina.
Ciauz
Beppe
More information about the pluto-security
mailing list