Hallo,
nachdem ich nun schon seit einiger Zeit mit der Endian Firewall (Rel. 2.3.0) am herumspielen und ausprobieren bin, stelle ich immer wieder fest, dass es bei der Auswertung der Log-Files und Livelogs Probleme bzw. Unklarheiten gibt.
Ich habe mal folgendes Beispiel aus der Eindringlingserkennung:
Eindring.. 2011-06-07 02:07:16 snort[30838]: [1:2664:2] GPL IMAP login format string attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1]: {TCP} 64.31.40.176:1923 -> 192.128.150.2:143Grob gesagt heisst es doch, dass 64.31.40.176 vom Port 1923 auf den IMAP Port meines Servers versucht zu zugreifen oder?
Leider kann ich aber mit GPL IMAP login format string attempt nichts anfangen und finde auch bei Google dazu nicht wirklich etwas brauchbares.
Vielleicht kann mir ja jemand weiterhelfen, Tipps oder Infos geben, wo man Informationen und Hinweise zur Auswertung der Logfils finden kann, bzw. diese besser deuten.
Vielen Dank schonmal und sonnige Grüsse
vom bodensee