On Sun, Nov 09, 2003 at 05:59:56PM +0100, Daniele wrote:
> On Wed, 5 Nov 2003 (20:54), paolino wrote:
> (Com'� che il messaggio � arrivato solo oggi 9 Nov?)
Purtroppo avevo scritto la mail qualche giorno fa... ero un po stupito che non
arrivasse nulla sulla lista ma ero pieno di cose da fare... e l'altro giorno,
mi sono ricordato di aver tirato giu sendmail per un lavoretto e di non averlo
riattivato. per cui � rimasto in coda per un po di giorni :P
> > [**] [1:648:4] SHELLCODE x86 NOOP [**]
>
> I presunti attacchi 'shellcode' segnalati da snort sono spesso dei falsi
> positivi in quanto i file che possono transitare in rete (download /
> upload) ingannano spesso snort.
Come devo fare per istruire snort su questi falsi positivi??
Devo limitare i log inutili altrimenti passo un sacco di tempo a capire se
preoccuparmi o meno..
>
> > 10 192.168.3.254 192.168.3.9 WEB-CGI calendar access
>
> Se non hai installato / non vuoi CGI questo potrebbe essere pi�
> interessante. Proviene inoltre da quello che di solito � il gateway...
L'indirizzo del mi gw � 3.1 quindi questo arriva da un'altra macchina
>
> > Portscans performed to/from HOME_NET
> > ===================================
> > # of
> > attacks from
> > ===================================
> > 4 192.168.3.9
>
> Anche questo � sicuramente pi� interessante, ti conviene controllare nei
> log di snort (se lo riporta) verso quale indirizzo � stato fatto il
> portscan.
Provo a fare dei controlli.
grazie per l'aiuto
paolino
>
> In caso di server compromesso, ad ogni modo, mantenere la macchina sulla
> rete � _altamente_ sconsigliato.
>
> Ciao,
> Daniele
> --
> Free your mind
> GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942
--
La teoria e' quando si sa tutto ma non funziona niente.
La pratica e' quando funziona tutto ma non si sa il perche'.
In ogni caso si finisce sempre a coniugare la teoria con la
pratica : non funziona niente e non si sa il perche'.
Albert Einstein
