snort von Suse 7.1 und logfiles

Rund um die Sicherheit des Systems und die Applikationen
breorg
Posts: 5
Joined: 2003-04-16 16:07
Location: Solingen

snort von Suse 7.1 und logfiles

Post by breorg » 2003-06-18 13:13

Hi,

ich habe seit 2 Tage auf unserem Server neben Portsentry auf Snort 1.7 laufen.

Wenn ich mir nun die Loglifes ansehen werde ich blind. Das sind Massen an Dateien.
In denen im Prinzip von tausenden IPs immer die gleich Attack gemeldet wird:


[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20

[**] spp_http_decode: IIS Unicode attack detected [**]
06/16-12:01:11.223826 194.25.32.146:64952 -> 217.172.186.52:80
TCP TTL:120 TOS:0x0 ID:24323 IpLen:20 DgmLen:735 DF
***AP*** Seq: 0x832156D9 Ack: 0x93210A5E Win: 0xF54D TcpLen: 20


usw.
Hier wird immer auf Port 80 ein IIS attack gemeldet. Port 80 ist unser Webserver... aber was ist ein "IIS Unicode attack"?

GoRn

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: snort von Suse 7.1 und logfiles

Post by captaincrunch » 2003-06-18 13:34

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc