Evento: ET SCAN Nmap NSE Richiesta Heartbleed

0

Ieri sera ho ricevuto questo incidente sul mio strumento di siem:

Event: ET SCAN Nmap NSE Heartbleed Request.

Incidente attivato dall'IP della lista nera al nostro server VPN aperto.

Facendo clic sul contenuto della firma visualizzato:

alert tcp any any -> $HOME_NET any (msg:"ET SCAN Nmap NSE Heartbleed Request"; flow:established,to_server; content:"|18 03|"; depth:2; byte_test:1,<,4,2; content:"|01|"; offset:5; depth:1; byte_test:2,>,2,3; byte_test:2,>,200,6; content:"|40 00|Nmap ssl-heartbleed"; fast_pattern:2,19; classtype:attempted-recon; sid:2021023; tag:session,5,packets; rev:1;)

Qualcuno potrebbe aiutarmi con questa firma? È davvero la scansione nmap o il problema di heartbleed.

    
posta MS Guy 21.02.2016 - 10:26
fonte

1 risposta

2

È entrambi.

NMAP contiene un motore di scripting che consente script personalizzati, come quelli utilizzati per rilevare le vulnerabilità.

Nel tuo caso, qualcuno ha utilizzato lo script ssl-heartbleed per vedere se un server http era vulnerabile sulla porta 443, ed è stato bloccato.

    
risposta data 21.02.2016 - 10:33
fonte