Forums:
Hola, tengo un servidor con debian 5 que tiene los siguientes servicios (firewall, dhcp, ftp, ssh, apache, mysql). Instala varias herramientas de seguridad una de ellas es Snort el cual es por primera vez que lo trabajo.
Lo instale lo configure y luego de un tiempo me empeso arrojar alerta Http las cuales no logro comprender ah que se refieren, por eso recurro al foro para que, Alguien me pudiese explicar un poco que significan.
------------------------------------------ < Timestamp >...........< Source Address >........< Dest. Address>......< Layer 4 Proto >
(http_inspect) DOUBLE DECODING ATTACK -------2009-06-22 12:04:04.....200.113.xxx.xxx:2225.......174.129.108.xxx:80.......TCP
(http_inspect) BARE BYTE UNICODE ENCODING -----2009-06-22 12:00:25.....200.113.xxx.xxx:3135........70.42.153.xxx:80.........TCP
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY--2009-06-22 11:58:34.....200.113.xxx.xxx:1039........64.4.52.xxx:80...........TCP
COMMUNITY WEB-MISC mod_jrun overflow attempt...2009-06-22 11:52:13.....201.215.xxx.xxx:52253.......200.113.xxx.xx:80........TCP
Muchas gracias
la verdad soy nuevo en linux
la verdad soy nuevo en linux y también estoy aplicando algo de seguridad... me puedes decir para qué es esa herramienta porfa? ...gracias.
------- :-D --------
Saludos.
Migueman
[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]
Es una herramienta que
Es una herramienta que permite "monitorear" el comportanmiento de nuestro servidor a nivel de protocolos y las acciones sospechosas las va dejando registrados para que se puedan leer y tomar la medidas correctiva correspondientes.
Saludos
____________________________________
Me gusta aprender, me gusta Linux !!
STFW
Buscando en google acabo de mirar este link http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips-more/16380-double-decoding-attack-outgoing-trafiic-very-high.html donde dice que al parecer esas son falsas alertas por un bug en snort.
Saludos
Monkito
------------
Cogito Ergo Sum
Claro, parece ser que esos
Claro, parece ser que esos errores se denominan como "Falsos positivos". ¿Alguien sabe como se podrán reducir?
Gracias!
____________________________________
Me gusta aprender, me gusta Linux !!