Alarmas con snort

Imagen de zo0m

Forums: 

Hola, tengo un servidor con debian 5 que tiene los siguientes servicios (firewall, dhcp, ftp, ssh, apache, mysql). Instala varias herramientas de seguridad una de ellas es Snort el cual es por primera vez que lo trabajo.
Lo instale lo configure y luego de un tiempo me empeso arrojar alerta Http las cuales no logro comprender ah que se refieren, por eso recurro al foro para que, Alguien me pudiese explicar un poco que significan.


------------------------------------------ < Timestamp >...........< Source Address >........< Dest. Address>......< Layer 4 Proto >
(http_inspect) DOUBLE DECODING ATTACK -------2009-06-22 12:04:04.....200.113.xxx.xxx:2225.......174.129.108.xxx:80.......TCP
(http_inspect) BARE BYTE UNICODE ENCODING -----2009-06-22 12:00:25.....200.113.xxx.xxx:3135........70.42.153.xxx:80.........TCP
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY--2009-06-22 11:58:34.....200.113.xxx.xxx:1039........64.4.52.xxx:80...........TCP
COMMUNITY WEB-MISC mod_jrun overflow attempt...2009-06-22 11:52:13.....201.215.xxx.xxx:52253.......200.113.xxx.xx:80........TCP

Muchas gracias

la verdad soy nuevo en linux

Imagen de migueman

la verdad soy nuevo en linux y también estoy aplicando algo de seguridad... me puedes decir para qué es esa herramienta porfa? ...gracias.

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]

Es una herramienta que

Imagen de zo0m

Es una herramienta que permite "monitorear" el comportanmiento de nuestro servidor a nivel de protocolos y las acciones sospechosas las va dejando registrados para que se puedan leer y tomar la medidas correctiva correspondientes.

Saludos

____________________________________
Me gusta aprender, me gusta Linux !!

STFW

Imagen de Monkito

Buscando en google acabo de mirar este link http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips-more/16380-double-decoding-attack-outgoing-trafiic-very-high.html donde dice que al parecer esas son falsas alertas por un bug en snort.

Saludos
Monkito

------------
counter.li.org

Cogito Ergo Sum

Claro, parece ser que esos

Imagen de zo0m

Claro, parece ser que esos errores se denominan como "Falsos positivos". ¿Alguien sabe como se podrán reducir?

Gracias!

____________________________________
Me gusta aprender, me gusta Linux !!