Curieux en effet. De quand date ton message? longtemps apr�s avoir mis le firewall ou pas ?? Fait un netstat -an pour etre plus sur. Je ne pense pas qu'ils aient mis un rootkit. De plus ton firewall n'est pas si bien configurer que �a pour laisser p�n�trer des personnes sous ce port ! Tiens prends ce script qui v�rifie les processus cach�s, merci F. BUISSON. Bonne soir�e. Tiens nous au courant.
-----Message d'origine----- De : patrice [mailto:[EMAIL PROTECTED] Envoy� : vendredi 27 f�vrier 2004 19:44 � : [email protected] Objet : logs bonsoir, je vois quelques lignes de logs de shorewall (au d�marrage de ma machine) dont le port utilis� (en exterieur) semble etre 3320 (d'apr�s ce que j'ai compris des logs)? et ce port semble utilis� par un trojan appel� "Office Link 2000" j'ai fais un chkrootkit pour verifier, mais rien... voici les logs : Feb 27 17:36:08 debian logger: Shorewall Started Feb 27 17:36:08 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=39880 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 Feb 27 17:36:09 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=47304 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=172.185.2.147 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=42250 PROTO=TCP SPT=1831 DPT=3320 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:60:68:83:06:78:08:00 SRC=192.168.1.1 DST=255.255.255.255 LEN=180 TOS=0x00 PREC=0x00 TTL=64 ID=64477 PROTO=UDP SPT=1440 DPT=1440 LEN=160 Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=53448 PROTO=TCP SPT=2810 DPT=3320 WINDOW=8192 RES=0x00 SYN URGP=0 mon IP commence par 83.***.**.*** ce qui ne correspond pas aux IP suivantes se trouvant dans ces logs (il ya depuis d'autres IP qui s'ajoutent dans les logs) 80.53.68.66 172.185.2.147 ... mon parefeu est bien configur� (mais je dois juste refaire la compil du noyau pour la s�cu) et j'utilise snort. dois je faire d'autres inspections ou bien je ne dois pas m'inqui�ter? ### sinon, j'ai vu ces lignes dans les logs, que je met car je n'avais jamais rep�r� ces cron, ce doit etre un cron standard ? : Feb 27 17:36:02 debian /usr/sbin/cron[519]: (CRON) STARTUP (fork ok) Feb 27 17:36:04 debian /usr/sbin/cron[519]: (CRON) INFO (Running @reboot jobs) ### (pr�cisions; je ne suis pas au top de la s�cu, les conseils sont les bienvenus) merci d'avance -- patrice -- Le secret du pouvoir consiste � combiner la foi en sa propre infaillibilit� avec l'aptitude � tirer une le�on de ses propres erreurs. - G. Orwell, 1984 -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
chercheprocess
Description: Binary data
