Sto analizzando un vecchio attacco e ho ottenuto uno scenario che per me non ha alcun senso.
L'utente malintenzionato si collega al servizio ftp ed esegue un "FTP RNFR ././test" di gruppo. Questo viene rilevato da Snort come alert con sid 1: 1622 Non capisco perché l'attaccante lo faccia. Il suo prossimo passo è PWD seguito da CWD (snort sid 1: 1672)
Non capisco i passaggi e il loro scopo da parte dell'attaccante, cosa stava cercando.