Snort falso positivo, ma sospetto

1

Ho installato Snort e ottimizzato le regole ET sul mio pfSense, sia il mio pfSense che il modem utilizzano Google Public 8.8.8.8 pubblico.

Recentemente mi è stato negato l'accesso a google.com e esaminando i log, Ho trovato i seguenti record nell'elenco bloccato per lo stesso IP:

  • ET INFO Possibile installazione del plug-in per Chrome
  • Numero di carta di credito SENSITIVE-DATA

Ho soppresso l'IP incriminato per ulteriori indagini che hanno rivelato che è uno dei miei IP dell'ISP con porte 80.443 e CPE per impronte digitali del sistema operativo: cpe: / o: freebsd - nmap dice.

Un traceroute verso l'IP dannoso finisce sull'hop 10 con un IP virtuale / privato, apparentemente un router nel sistema AS del mio ISP con proxy trasparente "?"

Più tardi ho provato ad accedere all'IP offendente dal mio browser Web e sono stato reindirizzato su google.com.mycountry

Ora sono confuso. Potrebbe essere uno Snort falso positivo? C'è qualcosa di cui dovrei essere preoccupato?

    
posta Saed 02.05.2016 - 04:57
fonte

0 risposte

Leggi altre domande sui tag