Registros de prevención de intrusiones

7

Recibí un correo electrónico de un cliente con registros IDS. Me preguntaba si el siguiente registro tiene indicaciones reales de que el servidor está en peligro. Si hay ciertas cosas que puedo hacer para diagnosticar la situación, estoy abierto a cualquier sugerencia.

###Log Start##
02/28/2011 08:58:42.352 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 8897, OPT - TCP scanned
port list, 8869, 8867, 8863, 8898, 8899
02/28/2011 09:08:01.144 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 12470, OPT - TCP scanned
port list, 12403, 12454, 12462, 12466, 12472
02/28/2011 09:09:20.080 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 14037, OPT - TCP
scanned port list, 13972, 13970, 14023, 13979, 13983
02/28/2011 09:10:58.496 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 15749, OPT - TCP
scanned port list, 15755, 15715, 15697, 15717, 15751
02/28/2011 09:14:24.112 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 19277, OPT - TCP
scanned port list, 19239, 19266, 19269, 19273, 19275
02/28/2011 09:15:50.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 21033, OPT - TCP
scanned port list, 21071, 20965, 21111, 20955, 21090
02/28/2011 09:26:15.016 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 37244, OPT - TCP
scanned port list, 37260, 37278, 37235, 37238, 37247
02/28/2011 09:28:53.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 40411, OPT - TCP
scanned port list, 40468, 40453, 40454, 40455, 40465
02/28/2011 09:29:19.128 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 41163, OPT - TCP scanned
port list, 41217, 41216, 41178, 41137, 41138
02/28/2011 09:40:38.240 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 55567, OPT - TCP
scanned port list, 55555, 55553, 55582, 55589, 55561
###Log End##
    
pregunta David Stubley 28.02.2011 - 19:21
fuente

2 respuestas

4

No hay indicaciones de un compromiso en los registros. Solo muestran en el peor escaneo de puertos. Este es el acto de buscar puertos abiertos, la siguiente etapa si se encontraran puertos abiertos sería verificar la versión del software que se está ejecutando y luego tratar de explotar las posibles vulnerabilidades para obtener acceso. Esto también se mostrará en los registros (siempre y cuando el IDS no se haya ajustado correctamente).

Sin embargo, valdría la pena ver los registros del servidor web para ver si la dirección de origen de esta actividad corresponde a una IP válida que utiliza el servidor web. A veces, cuando los clientes intentan conectarse a un servicio, establecen una conexión en el puerto remoto (en este caso, 443) y el servidor intenta abrir un puerto alto para el tráfico de retorno. Si esto está bloqueado, la conexión puede intentar establecer un puerto alto diferente y así sucesivamente. Esto puede tener el efecto de parecer un escaneo de puertos.

    
respondido por el David Stubley 28.02.2011 - 20:35
fuente
0

Respuesta

No, esto no es una indicación de un compromiso.

Detalles sobre Portscans

Como indican los mensajes, hay dos tipos diferentes de escalas de puertos:

  • TCP Scan : un escaneo completo (SYN, SYN / ACK, ACK) o semiabierto (SYN, SYN / ACK)
  • FIN Scan : una técnica de exploración más avanzada

Depende del umbral requerido por el módulo FW / IDS para generar estos mensajes. Los diferentes productos vienen con diferentes valores predeterminados . La segunda técnica de escaneo es bastante impopular y es menos común que se la vea como casualidad inofensiva . Esto podría indicar que alguien se tomó el tiempo para enumerar el sitio de destino. La detección nos permite asumir que la persona es menos hábil o tiene prisa.

Intento de intento de denegación de servicio

Además, la sincronización de los mensajes no indica un posible enfoque de inundación DDoS. Es demasiado lento.

    
respondido por el Marc Ruef 25.06.2016 - 23:50
fuente

Lea otras preguntas en las etiquetas