PDA

Voir la version complète : Attaque shellcode



korten
26/05/2011, 10h39
Bonjour à tous,

Pour mon premier post sur le nouveau forum, je viens vous demander conseil.

Hier mon réseau d'entreprise à été victime d'une attaque shellcode, du moins c'est se que snort me dit, voir ci-dessous:

May 25 14:02:31 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:46800 -> MONIP:10516
May 25 14:03:27 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:60236 -> MONIP:13094
May 25 14:06:12 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:56054 -> MONIP:16432

J'utilise aussi Snortsam qui a bloqué les 3 IPs différentes pour la petite histoire.

Je précise aussi que snort est installé sur mon firewall et non pas mon serveur VOIP qui se trouve être une autre machine situé derrière mon firewall.

Mon problème : Les IPs de l’agresseur appartiennent à mon fournisseur de téléphonie...

Celui-ci m'invite à revoir ma configuration, mais bon... voilà une année que je fonctionne avec cette config et ce fournisseur sans le moindre problème.

Ma question: Qu'en pensez vous ?
Je suis parano ?
Une possible mauvaise config de Snort ?
autre chose ?

En tout cas merci d'avance pour vos réponses.