il me semble que c'est un faux positif. J'ai deja eu cette alerte sur ma sonde Snort et suricata. Enfaite Python "Urllib" va interroger le web via les bibliothèques de python pour récupérer du contenu HTML à partir d'une URL.
Moi ce que j'ai fais pour être sur que c'est un faux positif:
Voici ma règle Snort ou suricata :
1 - Vérifier l'adresse IP du système référant et voir si tu peux regarder un script python qui entrain de fonctionner.
2 - Voir les LOG en filtrant grace à "Sed , grep, etc"
Pour moi , c’était un faux positif, maintenant , à toi d'investiguer sur cette alarme et de juger par toi-même si c'est une fausse alerte ;)
Bonne recherche,
Koorosh
Le 29/12/2014 17:41, bernard MICHEL a
écrit :
Bonjour
Y a t il un colistier qui pourrait me donner la signification de ces 2 lignes :
194.63.140.171 - - [28/Dec/2014:23:15:17 +0000] "GET / HTTP/1.1" 200 1218 "-" "Python-urllib/2.7"
201.186.225.34 - - [29/Dec/2014:07:46:57 +0000] "GET /tmUnblock.cgi HTTP/1.1" 400 415 "-" "-"
ces lignes apparaissent dans le log d'apache.
Y a t il un risque ?
Merci
Amicalement, Bernard.