Hola Ayer instalé snort para detectar intrusiones, con soporte para mysql y con ACID.
El archivo /etc/snort/snort.debian.conf lo tengo asi: DEBIAN_SNORT_STARTUP=boot DEBIAN_SNORT_HOME_NET="any" DEBIAN_SNORT_OPTIONS=" -p" DEBIAN_SNORT_INTERFACE="eth1" DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_TRESHOLD="1" Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197 ataques 'misc-attac' y 132 'bad-unknow'. unclassified 13 (4%) attempted-recon 13 (4% misc-activity 11 (3%) bad-unknown 132 (36%) misc-attack 197 (54%) Resulta que la ip que mas se repite en esos dos ultimos ataque es 127.0.0.1. Ejemplos de ataques: BAD-TRAFFIC loopback traffic 2004-01-16 11:56:17 127.0.0.1:80 81.202.xx.xxx:1761 TCP MS-SQL Worm propagation attempt 2004-01-16 14:25:36 127.0.0.1:80 81.202.xx.xxx:1254 TCP la otra ip es la de la interfaz por la que salgo a internet. Esos son los que mas se repiten y me ralla mucho el segundo porque en teoria MS-SQL Worm solo afecta a equipos hasefroch. Alguien sabe si esto es normal, si tengo algo mal en el archivo de configuracion o si tengo el sistema comprometido? Otra cosa, chkrootkit -q me da esto: eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766]) pero en ifconfig no me sale que esta en modo promiscuo. Eso lo hace snort? o no es normal que dhclient este por medio? Gracias por el tiempo.
