Re: interpretation de log generé par argus

[Kevin Berkane <kberkane@asso-montevideo.org>]

Kevin Berkane a écrit :

> Bonsoir, j'apprend à utiliser argus afin de journaliser mes 
> transactions reseaux ( je beneficie aussi de snort comme ids passif)
>
> j'ai quelque que probleme d'interpretation au niveaux de certaines 
> lignes de log  ( je suis assez parano :s ) (je connais tcp udp arp etc 
> mais man?? )
> j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
>
> 05-16-05 01:15:49.045656           man               229.97.122.203  
> v2.0                                336746 13         295
> 05-16-05 01:25:49.285440           man               229.97.122.203  
> v2.0                                336799 20         31
>
> je ne retrouve nullement cette ip  dans les logs de mon firewall ni 
> dans mes logs generé par snort.
> donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgré 
> l'avoir bloqué par le biais d'iptables :-\
> j'ai passé un coup de chkrootkit, rkhunter etc sans resultats.
> deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
> pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai  pas 
> activé dans mon kernel, pour info je suis en 2.6.11.9 patché vec grsec 
> et pax d'activé)
> quelqu'un aurai une idée?


> sinon les seuls   ports que j'ouvre sur ma passerelle de l'exterieur 
> sont :

  80 : apache 1.3.33 chrooté avec php 5.0.4  avec les dernieres 
versions de zlib libpng libgd etc..) tout compilé manuellement)
  25 : postfix 2.2.3 chrooté  compilé manuellement
  21 : vsftpd  2.0.3 compilé manuellement sans acces anonyme (petite 
erreur de conf au niveau de pam que j'ai pu corriger rapidement...  mais 
d'apré les log je n'ai recu aucune visite malencontreuse et je l'ai 
redeployé ya peu de temp)

110 : akpop3d 0.7.7 compilé manuellement
je verifie aussi toute les signatures des source que je telecharge etc
Sinon je suis en debian unstable  et je met mes packages à jour  tres 
regulierement

>