Atacante: 10.90.27.220 Vítima: 10.90.27.172
"Inbound" indica que 10.90.27.172 é a máquina sob ataque (e provavelmente a que gera o log).
Eu tenho esta entrada de log do SEP:
2011-04-05T10:52:37+02:00 SymantecServer SomeServer: SomePC,[SID: 23179]
OS Attack: MS Windows Server Service RPC Handling CVE-2008-4250 detected.
Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe,
Local: 10.90.27.172,
Local: 000000000000,
Remote: ,
Remote: 10.90.27.220,
Remote: 000000000000,Inbound,TCP,
Intrusion ID: 0,
Begin: 2011-04-05 10:28:37,
End: 2011-04-05 10:28:37,
Occurrences: 1,
Application: C:/WINDOWS/system32/ntoskrnl.exe,
Location: Default,
User: 123456,
Domain: SomeDomain
Quero confirmar que entendi isso corretamente. Esta é uma comunicação de entrada TCP. O IP remoto 10.90.27.220 está tentando expor alguma vulnerabilidade na máquina local: 10.90.27.172
Portanto, devemos nos preocupar mais com a máquina remota do que com a máquina local. Ou é o contrário?
Depende do que você está tentando corrigir. Você provavelmente deve olhar para o 10.90.27.220, pois é o que mais provavelmente lançou o ataque.
10.90.27.220, que eu assumo estar sob o seu controle por causa do IP RFC1918, provavelmente foi comprometido. Tentou explorar uma vulnerabilidade conhecida ( CVE-2008-4250 , que é um ataque de estouro de buffer no processamento de RPC) em 10.90.27.172.
A maneira como você vai lidar com isso depende do tipo de máquina 10.90.27.220. Você pode estar lidando com um problema de segurança de porta (alguém conectou algo não autorizado à sua rede), um problema de firewall (a máquina pode estar conectada mas não está sob seu controle), um usuário desonesto (executando metasploit ou algo em sua rede ), ou uma estação de trabalho infectada por vírus (ou servidor!), entre outras coisas.
"Entrada" indica que 10.90.27.172 é a máquina sob ataque e atacante tentando acessar o ntoskrnl.exe vulnerável .. É muito claro