Bonjour à tous,
Pour mon premier post sur le nouveau forum, je viens vous demander conseil.
Hier mon réseau d'entreprise à été victime d'une attaque shellcode, du moins c'est se que snort me dit, voir ci-dessous:
J'utilise aussi Snortsam qui a bloqué les 3 IPs différentes pour la petite histoire.Code:May 25 14:02:31 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:46800 -> MONIP:10516 May 25 14:03:27 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:60236 -> MONIP:13094 May 25 14:06:12 79 snort[29203]: [1:1390:5] SHELLCODE x86 inc ebx NOOP [Classification: Executable code was detected] [Priority: 1]: {UDP} 83.136.xxx.xx:56054 -> MONIP:16432
Je précise aussi que snort est installé sur mon firewall et non pas mon serveur VOIP qui se trouve être une autre machine situé derrière mon firewall.
Mon problème : Les IPs de l’agresseur appartiennent à mon fournisseur de téléphonie...
Celui-ci m'invite à revoir ma configuration, mais bon... voilà une année que je fonctionne avec cette config et ce fournisseur sans le moindre problème.
Ma question: Qu'en pensez vous ?
Je suis parano ?
Une possible mauvaise config de Snort ?
autre chose ?
En tout cas merci d'avance pour vos réponses.
Répondre avec citation