Kevin Berkane a �crit :
Bonsoir, j'apprend � utiliser argus afin de journaliser mes transactions reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc mais man?? )
j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203 v2.0 336746 13 295
05-16-05 01:25:49.285440 man 229.97.122.203 v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni dans mes logs gener� par snort.
donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgr� l'avoir bloqu� par le biais d'iptables :-\
j'ai pass� un coup de chkrootkit, rkhunter etc sans resultats.
deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas activ� dans mon kernel, pour info je suis en 2.6.11.9 patch� vec grsec et pax d'activ�)
quelqu'un aurai une id�e?
sinon les seuls ports que j'ouvre sur ma passerelle de l'exterieur sont :
80 : apache 1.3.33 chroot� avec php 5.0.4 avec les dernieres versions de zlib libpng libgd etc..) tout compil� manuellement)
25 : postfix 2.2.3 chroot� compil� manuellement
21 : vsftpd 2.0.3 compil� manuellement sans acces anonyme (petite erreur de conf au niveau de pam que j'ai pu corriger rapidement... mais d'apr� les log je n'ai recu aucune visite malencontreuse et je l'ai redeploy� ya peu de temp)
110 : akpop3d 0.7.7 compil� manuellement
je verifie aussi toute les signatures des source que je telecharge etc
Sinon je suis en debian unstable et je met mes packages � jour tres regulierement
