Marco d'Itri wrote:
È dolosamente stupido segnalare una richiesta simile come "attacco
riuscito" solo perché la pagina ha restituito 200.
Infatti l'alert di OSSEC dice solo "attenzione, questa richiesta ha la
forma di un attacco e ha restituito 200".
Qualche idea?
Evita gli IDS, garantiscono solo preoccupazioni.
Questa e' una generalizzazione che non fa onore alla tua competenza,
Marco :)
A parte che OSSEC e' un log watcher, piu' che un IDS in senso stretto,
e' uno strumento molto comodo per tener sotto controllo i log di una
macchina.
Certo che va configurato, e certo che e' sostanzialmente misuse-based,
quindi reattivo e non molto proattivo. Ma questa specifica regola che e'
scattata e' un tentativo di generalizzazione molto sensato.
--
Cordiali saluti,
Stefano Zanero
Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: [EMAIL PROTECTED]
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
