Cheval de troie ?

[quote=“guiguitarux”]A la base c’est pas rkhunter ni chkrootkit qui me laissent penser que le système est corrompu, ce sont les logs de mon détecteur d’intrusion (snort) d’une autre machine qui sert de routeur/pare-feu/filtrant.
[/quote]Au cours de du premier trimestre, Snort identifiait les flux Google Analytics comme illicites … ceci fut corrigé dans une des versions périodiques de mise à jour des règles (rules).
Quell est donc cette alerte de Snort ?

PS: Il est possible d’installer des outils comme Fail2ban ou Guardian qui lisent les alertes de Snorts et bloquent les adresses IP correspondantes (des alertes).

merci de tenter d’élucider ce mystère

Et bien ma foi, le premier log de snort (qui m’a alerté) figure dans la première citation de ce message, à savoir :

Très honnêtement, depuis je n’ai pas eu le temps de me pencher davantage sur le problème (c’est les vacances… ) mais je compte aller plus loin dans mes recherches.

Désolé pour la redite …

Nous n’avons pas la même structure d’alerte (chez nous, Snort ne s’exécute pas sur une machine Debian mais sur une appliance Linux),

[**] [1:21475:1] BLACKLIST USER-AGENT known malicious user-agent string core-project [**] [Classification: Misc activity] [Priority: 3] 06/30-08:42:05.669795 189.43.204.138:36230 -> 194.183.244.186:80 TCP TTL:63 TOS:0x0 ID:5118 IpLen:20 DgmLen:559 DF ***A**** Seq: 0x7BBF4EB2 Ack: 0x430A0295 Win: 0x1AD0 TcpLen: 32
mais cela a peu d’importance.

Par contre, je ne trouve aucune trace de l’alerte de type sid= 2014976, rev=2 dans la base Snort et les règles actuelles car cette alerte a été retirée le 28 juin 2012 (§ voir Google et ses résultats)
Une mise à jour des règles fera automatiquement disparaître l’alerte … et l’appréhension d’avoir un système infecté

ouais, super tout est clair

je verrai ça au retour vacances