Por lo que he investigado suele ser una consecuencia de intentar que en determinados servidores no hagan cierto da�o virus tipo blaster, y no se les ha ocurrido otra cosa que hacerlo de una manera que no debiera ser la correcta. Esa consecuencia ocurre de derivar el trafico hacia localhost y a puertos aleatorios que no tienen servicios asignados, y por eso te salen esas alertas (a mi y a mucha gente tambien le ocurre).
He leido y oido mucho sobre eso: gusano nuevo, consecuencia del baster, etc.. pero me quedo (igual que un buen amigo mio) en que es lo que te digo. No deberia ser asi pero asi han puesto la proteccion y luego lo padecemos todos :-( Aun asi te animo a investigar ese trafico, y si pones una knoppix con tcpdump o con snort (tcpdump -vv host localhost) veras que te sigue saliendo porque parte del servidor hacia tu localhost. Saludos. tronss. On Sunday 18 January 2004 16:09, Jose Miguel wrote: > Creo que los iptables estan bien, incluso he mirado las alertas sin > iptables activado y sigue igual. Alertas cada minuto. No se porque. > > El Domingo 18 Enero 2004 07:02, lamalejo escribi�: > > de tu localhost????, uhm.... lo dudo,.. mira bien los iptables... > > > > saludos > > > > ----- Original Message ----- > > From: "Jose Miguel" <[EMAIL PROTECTED]> > > To: <[email protected]> > > Sent: Saturday, January 17, 2004 8:46 PM > > Subject: sistema comprometido? > > > > > > Hola > > Ayer instal� snort para detectar intrusiones, con soporte para mysql y > > con ACID. > > > > El archivo /etc/snort/snort.debian.conf lo tengo asi: > > > > DEBIAN_SNORT_STARTUP=boot > > DEBIAN_SNORT_HOME_NET="any" > > DEBIAN_SNORT_OPTIONS=" -p" > > DEBIAN_SNORT_INTERFACE="eth1" > > DEBIAN_SNORT_STATS_RCPT="root" > > DEBIAN_SNORT_STATS_TRESHOLD="1" > > > > > > > > Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197 > > ataques 'misc-attac' y 132 'bad-unknow'. > > > > unclassified 13 (4%) > > attempted-recon 13 (4% > > misc-activity 11 (3%) > > bad-unknown 132 (36%) > > misc-attack 197 (54%) > > > > Resulta que la ip que mas se repite en esos dos ultimos ataque es > > 127.0.0.1. > > > > Ejemplos de ataques: > > BAD-TRAFFIC loopback traffic 2004-01-16 11:56:17 > > 127.0.0.1:80 81.202.xx.xxx:1761 TCP > > > > MS-SQL Worm propagation attempt 2004-01-16 14:25:36 > > 127.0.0.1:80 81.202.xx.xxx:1254 TCP > > > > la otra ip es la de la interfaz por la que salgo a internet. > > > > Esos son los que mas se repiten y me ralla mucho el segundo porque en > > teoria MS-SQL Worm solo afecta a equipos hasefroch. > > > > Alguien sabe si esto es normal, si tengo algo mal en el archivo de > > configuracion o si tengo el sistema comprometido? > > > > Otra cosa, chkrootkit -q me da esto: > > eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766]) > > > > pero en ifconfig no me sale que esta en modo promiscuo. > > > > Eso lo hace snort? o no es normal que dhclient este por medio? > > > > Gracias por el tiempo.
