Als ich heute morgen aufgestanden bin, hatte meine snort.log 29756 neu Einträge gehabt.
Ich musste feststellen, das diese alle von der selben IP Adresse kamen.
Die Signatur war zu 98% diese:
Code: Alles auswählen
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) NON-RFC HTTP DELIMITER
[snort] (http\_inspect) APACHE WHITESPACE (TAB)
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) APACHE WHITESPACE (TAB)
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
[snort] (http\_inspect) BARE BYTE UNICODE ENCODING
Meist wurde es an Port 60010 "ausgeführt", wobei da bei mir nichts offen ist, denn.
Meine Frage:
Ist das normal?! (hatte noch nie so einen vorfall) und es nicht beachten.
Oder soll ich an dem Provider, dem diese IP gehört eine mail an abuse@ ... schreiben?!