Parece como si hubiera detectado dos accesos... Capa el puerto 1243, creo que es el del subseven... Tambien podrias capar la IP de origen de ese ataque.
Por ah� corria un /etc/services con los puertos de los troyanos y to... Si quieres te lo mando, lo suyo es que cortes todos los puertos marcados como "trojan"... A Dimecres 07 Novembre 2001 23:20, Jose Manuel va escriure: > Tras instalar el snort veo en los logs algunas cosas curiosas. > Como estas: > ------------- > [**] Possible SubSeven access [**] > 11/07-21:22:20.645632 62.82.196.151:4652 -> 62.83.151.62:1243 > TCP TTL:122 TOS:0x0 ID:17630 DF > S***** Seq: 0xE2477B5 Ack: 0x0 Win: 0x2238 > TCP Options => MSS: 536 NOP NOP SackOK > > [**] Possible SubSeven access [**] > 11/07-21:22:23.515635 62.82.196.151:4652 -> 62.83.151.62:1243 > TCP TTL:122 TOS:0x0 ID:17750 DF > S***** Seq: 0xE2477B5 Ack: 0x0 Win: 0x2238 > TCP Options => MSS: 536 NOP NOP SackOK > --------------- > > He buscado por ah� y me entero de que el SubSeven es un > troyano para windog. La pregunta es � Estos intentos que son? > Escaneo de puertos para ver si lo tengo instalado? �O es algo > mas serio? -- Jaume Sabater - Dep. Sistemes - ARGUS Serveis Telem�tics Per escriure aquest mail no s'han maltractat animals ni s'han usat productes MicroSoft.
