Einsatz von Snort
Empfehlung: Nicht alle verfügbaren Signaturen verwenden, wenn z. B.
kein IIS-Server im Netz steht, die IIS-Signaturen nicht einbauen.
Snort-Alarme aus der täglichen Praxis
Feb 17 18:09:00 snort: Happy 99 Virus: 195.96.0.132:3072 -> XX.XX.XX.XX:25
Feb 18 15:24:15 snort: IIS vti_inf access attempt: 194.152.171.38:1520 -> XX.XX.XX.XX:80
Feb 18 18:28:47 snort: SNMP public access: 208.53.25.218:4983 -> XX.XX.XX.XX:161
Feb 21 01:42:13 snort: SMB C access: 208.176.62.66:3106 -> XX.XX.XX.XX:139
Mar 5 14:34:30 snort: WinGate 8080 Attempt: 141.56.111.1:39137 -> XX.XX.XX.5:8080
Mar 5 14:34:30 snort: WinGate 8080 Attempt: 141.56.111.1:39138 -> XX.XX.XX.6:8080
[...]
Mar 5 14:34:36 snort: WinGate 8080 Attempt: 141.56.111.1:39417 -> XX.XX.XX.244:8080
Mar 6 05:01:40 snort: SYN FIN Scan: 209.63.152.196:109 -> XX.XX.XX.5:109
Mar 6 05:01:40 snort: SYN FIN Scan: 209.63.152.196:109 -> XX.XX.XX.6:109
[...]
Mar 6 05:01:44 snort: SYN FIN Scan: 209.63.152.196:109 -> XX.XX.XX.244:109
Mar 8 14:39:34 snort: NULL Scan: 193.140.130.184:1081 -> XX.XX.XX.XX:80
Mar 9 23:30:51 snort: Cgiwrap CGI access attempt: 212.17.118.148:1181 -> XX.XX.XX.XX:80
Mar 17 01:09:28 snort: PHF CGI access attempt: 141.35.5.23:50062 -> XX.XX.XX.XX:80
Mar 17 01:09:29 snort: Aglimpse CGI access attempt: 141.35.5.23:50063 -> XX.XX.XX.XX:80
Mar 17 01:09:29 snort: NPH CGI access attempt: 141.35.5.23:50065 -> XX.XX.XX.XX:80
Mar 17 01:09:29 snort: TEST-CGI probe!: 141.35.5.23:50066 -> XX.XX.XX.XX:80
|
|
|
letztes Update 01.01.1970 Hinweise bitte an webmaster@bec.at