El 17/11/05, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-17 a las 10:13 +0100, Emiliano Sutil escribió:
A raiz de un hilo que he visto en la lista me he decidido a instalar snort para probarlo,
Lo he instalado y lanzado con la configuración por defecto y el primer efecto que veo es que el IMAP me deja de funcionar, este es el log que sale en el fichero messages:
El snort no tiene capacidad para detener servicios.
No, pararlo no lo para, lo que hace es que el cliente de IMAP, el mozilla thunderbird en este caso, no recoge nada.
snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
¿que significa esto y como puedo evitarlo?
El snort piensa que 192.168.1.110 está atacando tu servidor imap en 192.168.1.40, con un ataque "intento de sobrepaso en recogida en IMAP", o algo así.
La verdad es que esa ip, en concreto el usuario que usa ea ip tiene un buzon IMAP bastante grande ocupa 700 megas, pero es lo que hay. Mirare la documentacion del snort a ver si hay algo para aumentar el fetch del IMAP o algo asi. Todavia no me he metido a fondo con el RTFM (si yo tambien me he instalado el wtf ;-) ) un saludo Emi