Re: Back Orifice ?

To: liste Debian <debian-user-french@lists.debian.org>
Subject: Re: Back Orifice ?
From: Jean-Michel OLTRA <jm.oltra@espinasse.net>
Date: Sat, 1 Mar 2003 22:12:37 +0100
Message-id: <[🔎] 20030301211237.GA6632@espinasse>
Mail-followup-to: liste Debian <debian-user-french@lists.debian.org>
In-reply-to: <[🔎] 3E611753.3080406@wanadoo.fr>
References: <[🔎] 3E611753.3080406@wanadoo.fr>

Le samedi 01 mars 2003, pascal a écrit...
	bonjour,



> [**] [105:1:1] spp_bo: Back Orifice Traffic detected (key: 31337) [**]
> 03/01-12:00:42.818749 *.*.125.32:2131 -> <mon_ip>:31337
> UDP TTL:119 TOS:0x0 ID:12092 IpLen:20 DgmLen:47
> Len: 27

Quelques idées:

Regarder avec lsof et netstat si le port est actif ?
Le pinguer éventuellement avec hping ?
Analyser le log avec ethereal ou tethereal, tu dois pouvoir voir si il y
a eu des data échangées.

Mettre des règles dans /etc/snort/local.rules qui monitorent le traffic
sur ce port ?
Mettre une règle dans iptable qui empêche le traffic en provenance de ce
port de sortir ?
-- 
jean-michel

Reply to:

References:
- Back Orifice ?
  - From: pascal <pascalgosse@wanadoo.fr>

Prev by Date: Back Orifice ?
Next by Date: Openoffice.org et Wmaker
Previous by thread: Back Orifice ?
Next by thread: Openoffice.org et Wmaker
Index(es):
- Date
- Thread