[Ayuda] Me han hackeado mi servidor? - Gracias y aun mas....

Sandino Araico Sanchez sandino en sandino.net
Dom Feb 22 21:42:51 CST 2004


Max Valdez wrote:

>Hola
>
>Sandino, me imagino que no usas ningun programa p2p  verdad ??
>
>  
>
Si, y he tenido usuarios muy activos de Kazaa, MSN y Gnutella.

>Sobre todo con FTP, P2P y SSH, es muy comun activar falsos positivos de snort.
>  
>
No son falsos positivos, son avisos y tu los interpretas como tal 
dependiendo del contexto. El Snort sólamente te reporta lo que ve.
No es lo mismo enterarte de que 800 personas están aplicándole a tu 
Linux ataques para IIS/Win32 que enterarte de que tu servidor Linux está 
mandándole un ataque para IIS/Win32 a una máquina 'X'.

>Claro que puedes adecuar tus alertas para que no los tengas, pero creo que es 
>mejor tener falsos positivos, que tener falsos negativos,
>
Debes entrenar a tu cerebro para ignorar avisos conocidos que no sean 
peligrosos sin que eso implique que les piuerdas atención a avisos 
desconocidos o a avisos peligrosos. Hay herramientas que te ayudan a 
filtrar avisos conocidos o a clasificar los avisos del Snort pero no 
existe esa cosa positiva o negativa como tal, sólamente existen buenos o 
malos patrones pero el Snort sólamente te avisa lo que ve para que tú 
mismo lo analices con tu propio cerebro.

> siempre puedes 
>checar a ojo las alertas, y ver los payloads para darte cuenta si alguien 
>esta tratando de atacarte.
>
>Saludos
>Max
>  
>

-- 
Sandino Araico Sánchez
-- Melón se comió las plumas....


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/




Más información sobre la lista de distribución Ayuda