Security Intern qui dato l'incarico di trovare l'indirizzo IP di un utente malintenzionato utilizzando IDS di IBM.
L'evento o l'attacco in questione è intitolato X509_Weak_Signature_Algorithm
, e da quello che ho capito, questo attacco comporta lo sfruttamento di MD5 per generare certificati canaglia per compromettere i nostri server.
Quando vado a controllare un singolo registro degli eventi, ho notato che l'indirizzo IP dell'attaccante è un IP locale di classe A.
Non dovrebbe essere un indirizzo IP pubblico perché siamo attaccati da un host esterno?