Registri di prevenzione delle intrusioni

7

Ho ricevuto un'email da un cliente con registri IDS. Mi stavo chiedendo se il seguente registro ha delle vere indicazioni sul fatto che il server venga compromesso. Se ci sono alcune cose che posso fare per diagnosticare la situazione, sono aperto a qualsiasi suggerimento.

###Log Start##
02/28/2011 08:58:42.352 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 8897, OPT - TCP scanned
port list, 8869, 8867, 8863, 8898, 8899
02/28/2011 09:08:01.144 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 12470, OPT - TCP scanned
port list, 12403, 12454, 12462, 12466, 12472
02/28/2011 09:09:20.080 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 14037, OPT - TCP
scanned port list, 13972, 13970, 14023, 13979, 13983
02/28/2011 09:10:58.496 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 15749, OPT - TCP
scanned port list, 15755, 15715, 15697, 15717, 15751
02/28/2011 09:14:24.112 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 19277, OPT - TCP
scanned port list, 19239, 19266, 19269, 19273, 19275
02/28/2011 09:15:50.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 21033, OPT - TCP
scanned port list, 21071, 20965, 21111, 20955, 21090
02/28/2011 09:26:15.016 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 37244, OPT - TCP
scanned port list, 37260, 37278, 37235, 37238, 37247
02/28/2011 09:28:53.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 40411, OPT - TCP
scanned port list, 40468, 40453, 40454, 40455, 40465
02/28/2011 09:29:19.128 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 41163, OPT - TCP scanned
port list, 41217, 41216, 41178, 41137, 41138
02/28/2011 09:40:38.240 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 55567, OPT - TCP
scanned port list, 55555, 55553, 55582, 55589, 55561
###Log End##
    
posta David Stubley 28.02.2011 - 19:21
fonte

2 risposte

4

Non ci sono indicazioni di un compromesso nei log. Mostrano solo la scansione della porta peggiore. Questo è l'atto di cercare le porte aperte, la fase successiva, se le porte aperte sono state trovate, sarebbe quella di verificare la versione del software in esecuzione e quindi cercare di sfruttare potenziali vulnerabilità per ottenere l'accesso. Questo dovrebbe apparire anche nei log (purché l'IDS non sia stato sintonizzato in modo errato).

Tuttavia, varrebbe la pena esaminare i registri del server Web per verificare se l'indirizzo di origine di questa attività corrisponde a un IP valido utilizzando il server web. A volte, quando i client tentano di connettersi a un servizio, effettuano una connessione sulla porta remota (in questo caso 443) e il server tenta di aprire una porta alta per il traffico di ritorno. Se questo è bloccato, la connessione potrebbe tentare di stabilire una porta diversa diversa e così via. Questo può avere l'effetto di sembrare una scansione delle porte.

    
risposta data 28.02.2011 - 20:35
fonte
0

risposta

No, questa non è un'indicazione per un compromesso.

Dettagli su Portscans

Come indicano i messaggi, ci sono due diversi tipi di portscan che avvengono:

  • Scansione TCP : una scansione completa (SYN, SYN / ACK, ACK) o semiaperta (SYN, SYN / ACK)
  • FIN Scan : una tecnica di scansione più avanzata

Dipende da quale soglia è richiesta dal modulo FW / IDS per generare questi messaggi. Diversi prodotti sono disponibili con valori predefiniti diversi . La seconda tecnica di scansione è abbastanza impopolare e meno comune da essere vista come un innocuo fluke . Questo potrebbe indicare che qualcuno sta prendendo tempo per enumerare il sito di destinazione. Il rilevamento consente di supporre che la persona sia meno abile o di fretta.

tentativo DoS improbabile

Inoltre, la tempistica dei messaggi non indica un possibile approccio di flooding DDoS. È troppo lento.

    
risposta data 25.06.2016 - 23:50
fonte

Leggi altre domande sui tag