Re: sistema comprometido?
Creo que los iptables estan bien, incluso he mirado las alertas sin iptables
activado y sigue igual. Alertas cada minuto. No se porque.
El Domingo 18 Enero 2004 07:02, lamalejo escribió:
> de tu localhost????, uhm.... lo dudo,.. mira bien los iptables...
>
> saludos
>
> ----- Original Message -----
> From: "Jose Miguel" <robe5@ono.com>
> To: <debian-user-spanish@lists.debian.org>
> Sent: Saturday, January 17, 2004 8:46 PM
> Subject: sistema comprometido?
>
>
> Hola
> Ayer instalé snort para detectar intrusiones, con soporte para mysql y con
> ACID.
>
> El archivo /etc/snort/snort.debian.conf lo tengo asi:
>
> DEBIAN_SNORT_STARTUP=boot
> DEBIAN_SNORT_HOME_NET="any"
> DEBIAN_SNORT_OPTIONS=" -p"
> DEBIAN_SNORT_INTERFACE="eth1"
> DEBIAN_SNORT_STATS_RCPT="root"
> DEBIAN_SNORT_STATS_TRESHOLD="1"
>
>
>
> Hoy he mirado las estadisticas segun ACID y me sale que he recivido 197
> ataques 'misc-attac' y 132 'bad-unknow'.
>
> unclassified 13 (4%)
> attempted-recon 13 (4%
> misc-activity 11 (3%)
> bad-unknown 132 (36%)
> misc-attack 197 (54%)
>
> Resulta que la ip que mas se repite en esos dos ultimos ataque es
> 127.0.0.1.
>
> Ejemplos de ataques:
> BAD-TRAFFIC loopback traffic 2004-01-16 11:56:17 127.0.0.1:80
> 81.202.xx.xxx:1761 TCP
>
> MS-SQL Worm propagation attempt 2004-01-16 14:25:36
> 127.0.0.1:80 81.202.xx.xxx:1254 TCP
>
> la otra ip es la de la interfaz por la que salgo a internet.
>
> Esos son los que mas se repiten y me ralla mucho el segundo porque en
> teoria MS-SQL Worm solo afecta a equipos hasefroch.
>
> Alguien sabe si esto es normal, si tengo algo mal en el archivo de
> configuracion o si tengo el sistema comprometido?
>
> Otra cosa, chkrootkit -q me da esto:
> eth1: PACKET SNIFFER(/sbin/dhclient[25867], /usr/sbin/snort[13766])
>
> pero en ifconfig no me sale que esta en modo promiscuo.
>
> Eso lo hace snort? o no es normal que dhclient este por medio?
>
> Gracias por el tiempo.
Reply to: