SHELLCODE x86与OS无关的fnstenv geteip dword xor解码器[分类:检测到可执行代码] [优先级:1] {TCP} 192.168.202.50:60322-> 192.168.22.252:445
1)此警报是什么意思?签名正在寻找什么?如果它通过了会发生什么?2)攻击者是哪个IP?
2)SYN数据包上的数据[分类:通用协议命令解码] [优先级:3] {TCP} 192.168.199.58:63000-> 192.168.28.100:60000
1)此警报是什么意思?签名正在寻找什么?如果它通过了会发生什么?2)此警报来自snort架构的哪一部分?
3)SPYWARE-PUT Hacker-Tool timbuktu pro运行时检测-udp端口407 [分类:其他活动] [优先级:3] {UDP} 192.168.199.58:59173-> 192.168.22.201:4071)此警报是什么意思?签名正在寻找什么?如果它通过了会发生什么?2)谁是主人,谁是受害者?
4)嗅探:[1:3815:6] SMTP eXchange POP3邮件服务器溢出尝试[分类:杂项攻击] [优先级:2] {TCP} 192.168.199.58:60327-> 192.168.21.151:251)此警报是什么意思?签名正在寻找什么?如果它通过了会发生什么?2)谁是主机,谁是攻击者?
我已经做了大量的搜索工作,但无法理解或找到有关这些签名的任何详细信息。请帮助
所以,让我用一个答案来构造它:
1)
[This event indicates that shellcode has been detected in network traffic,因此如果该代码通过并被执行,则您将获得后门。
192.168.202.50:60322似乎是攻击性IP,它正在尝试利用Windows盒192.168.22.252:445
上的某些漏洞。2)
3)
4)
但是在所有这些情况下,似乎192.168.199.58可能已被利用,或者该框中的某些内容正在探测LAN网络。
我还将扫描192.168.199.50和.58,以查明这些框上的谁,来自外国地址的任何当前连接,都可能利用了这两个框。