En concreto:
Código:
alert tcp $HOME_NET any -> [199.58.207.185,199.59.241.234,199.59.241.234,199.80.60.49,199.85.215.60,199.91.173.253,200.110.129.104,200.175.44.161,200.23.149.144,200.29.0.66] any (msg:"ET DROP Known Bot C&C Server Traffic TCP (group 64) "; flags:S; reference:url,doc.emergingthreats.net/bin/view/Main/ShadowServerCC; reference:url,www.shadowserver.org; reference:url,abuse.ch; threshold: type limit, track by_src, seconds 3600, count 1; classtype:trojan-activity; flowbits:set,ET.Evil; flowbits:set,ET.BotccIP; sid:2404126; rev:2632;)
Tengo 4 paquetes, 3 con none data y 1 con
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43 43 43 43 43
43 43 43 43 43 43 43 43 43 43 43 43
este es udp los otros 3 son tcp. Puede ser esto un metodo de control?
Mi teoria es que como estaba probando un programa en una vm con windows xp el paquete ha pasado por el pc normal y posteriormente por el ids, si todos con la misma tarjeta de red xD.
Las source ip's de los paquetes son .130 . 133 . 128.
.128 pc instalado .130 donde hice las pruebas y .133 donde tengo el ids.
Lo que más me ha desconcertado es que también de una alerta desde el .133 porque me parece practicamente imposible que este infectado, por no decir imposible es un ubuntu practicamente nuevo y actualizado.
Bueno aquí dejo un pantallazo de esta parte del log:
A ver si alguien le hecha un vistazo al servidor y me comenta que le parece. Yo le he hecho un simple escaneado y dice que es windows iss 7.5 tan solo puerto 80 abierto.
Si accedes a dicho servidor por navegador, muestra: http://199.59.241.234/?srt=1331811757576&refurl= y en el source pone invalid server. Muy probablemente porque no estoy autentificado como server o no lo hago mediante la aplicación especifica.
A ver si alguien se anima a dar su opinión o su experiencia.
Saludos.