[Ayuda] Me han hackeado mi servidor? - Gracias y aun mas....
Sandino Araico Sanchez
sandino en sandino.net
Dom Feb 22 21:42:51 CST 2004
Max Valdez wrote:
>Hola
>
>Sandino, me imagino que no usas ningun programa p2p verdad ??
>
>
>
Si, y he tenido usuarios muy activos de Kazaa, MSN y Gnutella.
>Sobre todo con FTP, P2P y SSH, es muy comun activar falsos positivos de snort.
>
>
No son falsos positivos, son avisos y tu los interpretas como tal
dependiendo del contexto. El Snort sólamente te reporta lo que ve.
No es lo mismo enterarte de que 800 personas están aplicándole a tu
Linux ataques para IIS/Win32 que enterarte de que tu servidor Linux está
mandándole un ataque para IIS/Win32 a una máquina 'X'.
>Claro que puedes adecuar tus alertas para que no los tengas, pero creo que es
>mejor tener falsos positivos, que tener falsos negativos,
>
Debes entrenar a tu cerebro para ignorar avisos conocidos que no sean
peligrosos sin que eso implique que les piuerdas atención a avisos
desconocidos o a avisos peligrosos. Hay herramientas que te ayudan a
filtrar avisos conocidos o a clasificar los avisos del Snort pero no
existe esa cosa positiva o negativa como tal, sólamente existen buenos o
malos patrones pero el Snort sólamente te avisa lo que ve para que tú
mismo lo analices con tu propio cerebro.
> siempre puedes
>checar a ojo las alertas, y ver los payloads para darte cuenta si alguien
>esta tratando de atacarte.
>
>Saludos
>Max
>
>
--
Sandino Araico Sánchez
-- Melón se comió las plumas....
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/
Más información sobre la lista de distribución Ayuda