Bonsoir, j'apprend =E0 utiliser argus afin de journaliser mes transaction=
s=20
reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines=20
lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc=20
mais man?? )
j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203 =20
v2.0 336746 13 295
05-16-05 01:25:49.285440 man 229.97.122.203 =20
v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni dans=20
mes logs gener=E9 par snort.
donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgr=E9=20
l'avoir bloqu=E9 par le biais d'iptables :-\
j'ai pass=E9 un coup de chkrootkit, rkhunter etc sans resultats.
deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas=20
activ=E9 dans mon kernel, pour info je suis en 2.6.11.9 patch=E9 vec grse=
c=20
et pax d'activ=E9)
quelqu'un aurai une id=E9e?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Kevin Berkane
Kevin Berkane a écrit :
Bonsoir, j'apprend à utiliser argus afin de journaliser mes transactions reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc mais man?? ) j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203 v2.0 336746 13 295 05-16-05 01:25:49.285440 man 229.97.122.203 v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni dans mes logs generé par snort. donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgré l'avoir bloqué par le biais d'iptables :- j'ai passé un coup de chkrootkit, rkhunter etc sans resultats. deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas activé dans mon kernel, pour info je suis en 2.6.11.9 patché vec gr sec et pax d'activé) quelqu'un aurai une idée?
sinon les seuls ports que j'ouvre sur ma passerelle de l'exterieur sont :
80 : apache 1.3.33 chrooté avec php 5.0.4 avec les dernieres versions de zlib libpng libgd etc..) tout compilé manuellement) 25 : postfix 2.2.3 chrooté compilé manuellement 21 : vsftpd 2.0.3 compilé manuellement sans acces anonyme (petite erreur de conf au niveau de pam que j'ai pu corriger rapidement... mais d'apré les log je n'ai recu aucune visite malencontreuse et je l'ai redeployé ya peu de temp)
110 : akpop3d 0.7.7 compilé manuellement je verifie aussi toute les signatures des source que je telecharge etc Sinon je suis en debian unstable et je met mes packages à jour tres regulierement
Kevin Berkane a écrit :
Bonsoir, j'apprend à utiliser argus afin de journaliser mes
transactions reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines
lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc
mais man?? )
j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203
v2.0 336746 13 295
05-16-05 01:25:49.285440 man 229.97.122.203
v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni
dans mes logs generé par snort.
donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgré
l'avoir bloqué par le biais d'iptables :-
j'ai passé un coup de chkrootkit, rkhunter etc sans resultats.
deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip
pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas
activé dans mon kernel, pour info je suis en 2.6.11.9 patché vec gr sec
et pax d'activé)
quelqu'un aurai une idée?
sinon les seuls ports que j'ouvre sur ma passerelle de l'exterieur
sont :
80 : apache 1.3.33 chrooté avec php 5.0.4 avec les dernieres
versions de zlib libpng libgd etc..) tout compilé manuellement)
25 : postfix 2.2.3 chrooté compilé manuellement
21 : vsftpd 2.0.3 compilé manuellement sans acces anonyme (petite
erreur de conf au niveau de pam que j'ai pu corriger rapidement... mais
d'apré les log je n'ai recu aucune visite malencontreuse et je l'ai
redeployé ya peu de temp)
110 : akpop3d 0.7.7 compilé manuellement
je verifie aussi toute les signatures des source que je telecharge etc
Sinon je suis en debian unstable et je met mes packages à jour tres
regulierement
Bonsoir, j'apprend à utiliser argus afin de journaliser mes transactions reseaux ( je beneficie aussi de snort comme ids passif)
j'ai quelque que probleme d'interpretation au niveaux de certaines lignes de log ( je suis assez parano :s ) (je connais tcp udp arp etc mais man?? ) j'ai ce type de ligne avec cette ip qui reviens relativement souvent :
05-16-05 01:15:49.045656 man 229.97.122.203 v2.0 336746 13 295 05-16-05 01:25:49.285440 man 229.97.122.203 v2.0 336799 20 31
je ne retrouve nullement cette ip dans les logs de mon firewall ni dans mes logs generé par snort. donc a l'aide de ra -r argus.log je vois souvent cettes lignes malgré l'avoir bloqué par le biais d'iptables :- j'ai passé un coup de chkrootkit, rkhunter etc sans resultats. deuxiemementt, je n'arrive a recup aucune info sur cette adresse ip pis cette ip suivi de v2.0 je comprend pas (ipv6 pourtant n'ai pas activé dans mon kernel, pour info je suis en 2.6.11.9 patché vec gr sec et pax d'activé) quelqu'un aurai une idée?
sinon les seuls ports que j'ouvre sur ma passerelle de l'exterieur sont :
80 : apache 1.3.33 chrooté avec php 5.0.4 avec les dernieres versions de zlib libpng libgd etc..) tout compilé manuellement) 25 : postfix 2.2.3 chrooté compilé manuellement 21 : vsftpd 2.0.3 compilé manuellement sans acces anonyme (petite erreur de conf au niveau de pam que j'ai pu corriger rapidement... mais d'apré les log je n'ai recu aucune visite malencontreuse et je l'ai redeployé ya peu de temp)
110 : akpop3d 0.7.7 compilé manuellement je verifie aussi toute les signatures des source que je telecharge etc Sinon je suis en debian unstable et je met mes packages à jour tres regulierement