[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Logs bizarres de ipchains



Le port 68 c'est le DHCP! C'est peut-etre normal...


On 07-Sep-2001 Marc Raeymaekers wrote:
> Le Vendredi  7 Septembre 2001 06:28, vous avez écrit :
>> Salut les gens,
> 
> Salut les autres gens, :o)
>>
>> j'ai des logs bien remplis sur une machine connectée à
>> internet par brutélé (cable).
> 
> Ben moi c'est depuis que je suis connecté par UPC (idem que brutélé)(depuis 
> ce mercredi). J'ai installé portsentry.
> Celui-ci m'envoie des logs d'alerte.
>>
> 
>> Elle fait ipmasq pour un réseau local, et logge les
>> packets bizarres. Et ça il y en a tant qu'on veut.
>> Mais pourquoi ?
>>
>> Exemple :
>>
>> Sep  7 08:52:00 andromede kernel: Packet log: input
>> DENY eth2 PROTO=2 212.68.226.1:65535 224.0.0.1:65535
>> L=32 S=0x00 I=17419 F=0x0000 T=1 O=0x00000494 (#9)
>>
>> Le même toutes les 2 minutes 6 secondes, quasi comme
>> une horloge (il perd 1 seconde parfois).
>>
>> C'est sur l'interface connectée au modem cable, mais
>> la source n'est pas ma passerelle.
>>
>>
>> Quelqu'un a une idée ?
>>
>> Merci,
> 
> 
> Porsentry m'envoie ce genre de chose:
> 
> Active System Attack Alerts
> =-=-=-=-=-=-=-=-=-=-=-=-=-=
> Sep _6 23:02:06 lemaster portsentry[1221]: attackalert: UDP scan from host: 
> cochrane.chello.be/195.162.196.1 to UDP port: 68
> Sep _6 23:02:06 lemaster portsentry[1221]: attackalert: Host: 
> cochrane.chello.be/195.162.196.1 is already blocked Ignoring
> Sep _6 23:02:13 lemaster portsentry[1221]: attackalert: UDP scan from host: 
> cochrane.chello.be/195.162.196.1 to UDP port: 68
> Sep _6 23:02:13 lemaster portsentry[1221]: attackalert: Host: 
> cochrane.chello.be/195.162.196.1 is already blocked Ignoring
> 
> 
> Sep _7 09:40:09 lemaster portsentry[1221]: attackalert: UDP scan from host: 
> cochrane.chello.be/195.162.196.1 to UDP port: 68
> Sep _7 09:40:09 lemaster portsentry[1221]: attackalert: Host 195.162.196.1 
> has been blocked via wrappers with string: "ALL: 195.162.196.1"
> Sep _7 09:40:09 lemaster portsentry[1221]: attackalert: Host 195.162.196.1 
> has been blocked via dropped route using command: "/sbin/ipchains -I input -s
> 195.162.196.1 -j DENY -l"
> 
> et 
> 
> 
> Sep _6 23:41:21 lemaster portsentry[1221]: attackalert: UDP scan from host: 
> cable-213-132-137-230.upc.chello.be/213.132.137.230 to UDP port: 514
> Sep _6 23:41:21 lemaster portsentry[1221]: attackalert: Host: 
> cable-213-132-137-230.upc.chello.be/213.132.137.230 is already blocked 
> Ignoring
> Sep _6 23:41:24 lemaster portsentry[1221]: attackalert: UDP scan from host: 
> cable-213-132-137-230.upc.chello.be/213.132.137.230 to UDP port: 514
> 
> J'ai envoyé un mail à UPC mais j'attend toujours qu'ils me répondent.
> Bon, est-ce qu'il se pourrrait que ce soit simplement dû à la synchronisation
> du modem-cable??
> J'espère qu'il s'agit d'une fausse alerte.
> 
> (Ca me fait penser que je devrais vérifier les autres logs)
> 
> Marc
> 
> ----------------------------------------------
> Je suis aveugle, mais on trouve toujours plus malheureux que soi...
> J'aurais pu être noir.
>                         Ray Charles
> ----------------------------------------------
> 
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
> 

----------------------------------
DESSART Francois
----------------------------------

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]