Avviso telnet su SIEM

Question

Avviso telnet su SIEM

#1 da (3 voti)

-2

Attualmente stiamo configurando McAfee SIEM. Alcune regole sono state impostate usando l'ID della firma. Di seguito è riportato l'allarme che si attiva frequentemente:

Summary: Signature ID 'Suspicious - Remote Shell Communication with Suspicious Host - Event or Flow' (47-4000180) match found The following events were found
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Source IP = 93.116.127.108                // below is the list of source IPs 
Destination IP = 135.10.194.xxx           //(xxx-changes)  


93.116.127.108
106.186.31.135
106.184.2.29
61.150.126.243
46.151.52.231
122.52.49.214
169.228.66.91
60.248.45.40
106.184.2.29
106.186.31.135
47.18.82.224
71.6.146.186
106.186.31.135
175.193.11.61
106.186.31.135

Source Port = 38974 
Destination Port = 23

pass 1

Source User = Root (Always)
Destination User = (Blank always)

Source Geolocation=Chisinau, Chisinau, Moldova, unknown
Destination Geolocation=*****************, United States, ********

Eventcount = 1

First Event - 04/11/2016 23:19:52
Last Event - 04/11/2016 23:19:52

Message - Suspicious - Remote Shell Communication with Suspicious Host - Event or Flow

Application - telnet
Average Severity = 75
Signature ID = 47-4000180

Per favore aiutami a capire, perché sto ricevendo questo e cosa dovrebbe essere fatto per risolvere il problema.

monitoring siem

posta pkd 17.05.2016 - 17:49

fonte

1 risposta

Leggi altre domande sui tag monitoring siem

Dovrei essere preoccupato che l'arabo si presenti quando faccio una ricerca su google per le mappe? Che cos'è la crittografia di RSA con AES? [duplicare]

score 3 · Answer 1

Sembra che qualcuno stia probabilmente cercando di forzare i nomi utente / password o altri malintenzionati connections al tuo host. In entrambi i casi non dovresti mai avere telnet aperto perché è molto insicuro. Devi disabilitare la porta 23 immediatamente sul tuo host.