Creo que los iptables estan bien, incluso he mirado las alertas sin iptables activado y sigue igual. Alertas cada minuto. No se porque.
El Domingo 18 Enero 2004 07:02, lamalejo escribi�: > de tu localhost????, uhm.... lo dudo,.. mira bien los iptables... > > saludos > > ----- Original Message ----- > From: "Jose Miguel" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Saturday, January 17, 2004 8:46 PM > Subject: sistema comprometido? > > > Hola > Ayer instal� snort para detectar intrusiones, con soporte para mysql y con > ACID. > > El archivo /etc/snort/snort.debian.conf lo tengo asi: > > DEBIAN_SNORT_STARTUP=boot > DEBIAN_SNORT_HOME_NET="any" > DEBIAN_SNORT_OPTIONS=" -p" > DEBIAN_SNORT_INTERFACE="eth1" > DEBIAN_SNORT_STATS_RCPT="root" > DEBIAN_SNORT_STATS_TRESHOLD="1" > > > > Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197 > ataques 'misc-attac' y 132 'bad-unknow'. > > unclassified 13 (4%) > attempted-recon 13 (4% > misc-activity 11 (3%) > bad-unknown 132 (36%) > misc-attack 197 (54%) > > Resulta que la ip que mas se repite en esos dos ultimos ataque es > 127.0.0.1. > > Ejemplos de ataques: > BAD-TRAFFIC loopback traffic 2004-01-16 11:56:17 127.0.0.1:80 > 81.202.xx.xxx:1761 TCP > > MS-SQL Worm propagation attempt 2004-01-16 14:25:36 > 127.0.0.1:80 81.202.xx.xxx:1254 TCP > > la otra ip es la de la interfaz por la que salgo a internet. > > Esos son los que mas se repiten y me ralla mucho el segundo porque en > teoria MS-SQL Worm solo afecta a equipos hasefroch. > > Alguien sabe si esto es normal, si tengo algo mal en el archivo de > configuracion o si tengo el sistema comprometido? > > Otra cosa, chkrootkit -q me da esto: > eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766]) > > pero en ifconfig no me sale que esta en modo promiscuo. > > Eso lo hace snort? o no es normal que dhclient este por medio? > > Gracias por el tiempo.
