O FortiAnalyzer i skanowaniu już pisałem. Znów mam ciekawy kwiatek. Włączyłem skanowanie niedużej sieci. Było to jakoś pod koniec października. Zupełnie o tym zapomniałem, bo wcześniej skanowane były drukarki oraz inne urządzenia sieciowe i operacja zakończyła się raportami. Dziś dostaję kilka zgłoszeń o próbie wykorzystania luk:
Message meets Alert condition
The following intrusion was observed: .
date=2009-11-12 time=08:59:29 devname=FG100A390850nnnn device_id=FG100A390850nnnn log_id=0419016384 type=ips subtype=signature pri=alert fwver=040001 severity=medium carrier_ep="N/A" profile="XXXwww" src=192.168.N.nnn dst=192.168.N.nnn src_int="internal1" dst_int="internal1" policyid=9 serial=2624202 status=detected proto=6 service=http vd="root" count=1 src_port=12656 dst_port=80 attack_id=10478 sensor="protect_http_server" ref="http://www.fortinet.com/ids/VID10478" user="N/A" group="N/A" incident_serialno=215887946 msg="web_server: Oracle.HTTP.Server.XSS"
Ponieważ wszystkie zgłoszenia dotyczą jednego serwera i jednej usługi, pomyślałem początkowo, że to jakiś głupi robot. Z ciekawości chciałem go namierzyć, ale niestety wspomniany raport jako adres źródłowy i docelowy podaje to samo! Głębsza analiza pakietów na bramie (FortiGate) też niczego nie wniosła (pseudo-atak ciągle trwał). Na koniec trafiłem do samego FortiAnalyzer’a, żeby przejrzeć historię zalogowanych połączeń i coś mnie tknęło, żeby sprawdzić stan skanowania.
No tak, 38%. Czyli za tydzień znów się będę zastanawiał…
Tagi: FortiAnalyzer