Evento: ET SCAN Nmap NSE Petición de corazón

0

Anoche recibí este incidente en mi herramienta siem:

  

Evento: ET SCAN Nmap NSE Heartbleed Request.

Incidente desencadenado desde la IP de la lista negra a nuestro servidor VPN abierto.

Al hacer clic en el contenido de la firma que se muestra:

  

alertar tcp cualquiera cualquiera - > $ HOME_NET cualquiera (msg: "ET SCAN Nmap NSE Heartbleed   Solicitud "; flujo: establecido, a_servidor; contenido:" | 18 03 | "; profundidad: 2;   byte_test: 1, <, 4,2; contenido: "| 01 |"; desplazamiento: 5; profundidad: 1;   byte_test: 2, >, 2,3; byte_test: 2, >, 200,6; contenido: "| 40 00 | Nmap   ssl-heartbleed "; fast_pattern: 2,19; classtype: intent-recon;   sid: 2021023; etiqueta: sesión, 5, paquetes; rev: 1;)

¿Podría alguien ayudarme en esta firma? ¿Es realmente el escaneo de nmap o el problema del corazón?

    
pregunta MS Guy 21.02.2016 - 10:26
fuente

1 respuesta

2

Son ambas.

NMAP contiene un motor de secuencias de comandos que permite secuencias de comandos personalizadas, como las que se utilizan para detectar vulnerabilidades.

En su caso, alguien usó el script ssl-heartbleed para ver si un servidor http era vulnerable en el puerto 443, y fue bloqueado.

    
respondido por el Richie Frame 21.02.2016 - 10:33
fuente