logs

To: debian-user-french@lists.debian.org
Subject: logs
From: patrice <ml-spam-delete@tiscali.fr>
Date: Fri, 27 Feb 2004 19:44:04 +0100
Message-id: <[🔎] 403C4DB400428CEA@mail05.pds.libertysurf.fr> (added by postmaster@libertysurf.fr)

bonsoir,

je vois quelques lignes de logs de shorewall (au démarrage de ma machine)  
dont le port utilisé (en exterieur) semble etre  3320  (d'aprés ce que j'ai 
compris des logs)? 

et ce port semble utilisé par un trojan appelé "Office Link 2000"
j'ai fais un chkrootkit pour verifier, mais rien...

voici les logs :

Feb 27 17:36:08 debian logger: Shorewall Started
Feb 27 17:36:08 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 
LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=39880 PROTO=TCP SPT=2810 DPT=3320 
WINDOW=8192 RES=0x00 SYN URGP=0 
Feb 27 17:36:09 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 
LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=47304 PROTO=TCP SPT=2810 DPT=3320 
WINDOW=8192 RES=0x00 SYN URGP=0 
Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=172.185.2.147 
DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=42250 PROTO=TCP SPT=1831 
DPT=3320 WINDOW=65535 RES=0x00 SYN URGP=0 
Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=ff:ff:ff:ff:ff:ff:00:60:68:83:06:78:08:00 SRC=192.168.1.1 
DST=255.255.255.255 LEN=180 TOS=0x00 PREC=0x00 TTL=64 ID=64477 PROTO=UDP 
SPT=1440 DPT=1440 LEN=160 
Feb 27 17:36:10 debian kernel: Shorewall:net2all:ACCEPT:IN=eth0 OUT= 
MAC=00:05:5d:4d:00:79:00:60:68:83:06:78:08:00 SRC=80.53.68.66 DST=192.168.1.2 
LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=53448 PROTO=TCP SPT=2810 DPT=3320 
WINDOW=8192 RES=0x00 SYN URGP=0 

mon IP commence par 83.***.**.***

ce qui ne correspond pas aux IP suivantes se trouvant dans ces logs (il ya 
depuis d'autres IP qui s'ajoutent dans les logs)

80.53.68.66
172.185.2.147
...

mon parefeu est bien configuré (mais je dois juste refaire la compil du 
noyau pour la sécu) et j'utilise snort.
dois je faire d'autres inspections ou bien je ne dois pas m'inquiéter?

###
sinon, j'ai vu ces lignes dans les logs, que je met car je n'avais jamais 
repéré ces cron, ce doit etre un cron standard ? :
Feb 27 17:36:02 debian /usr/sbin/cron[519]: (CRON) STARTUP (fork ok)
Feb 27 17:36:04 debian /usr/sbin/cron[519]: (CRON) INFO (Running @reboot jobs)
###

(précisions; je ne suis pas au top de la sécu, les conseils sont les 
bienvenus)

merci d'avance
--
patrice
--
Le secret du pouvoir consiste à combiner la foi en sa propre infaillibilité
avec l'aptitude à tirer une leçon de ses propres erreurs. - G. Orwell, 1984

Reply to:

Follow-Ups:
- RE: logs
  - From: "Ravatel Mickael (All4linux)" <mickael@ravatel.net>
- Re: logs
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>

Prev by Date: RE: Coupure electrique
Next by Date: Re: Paquets suggeres et recommandes
Previous by thread: Re: Coupure electrique
Next by thread: RE: logs
Index(es):
- Date
- Thread