> Dernæst smider du 1 port 80'er væk, det mig. De resterende 3 er
> sandsynligvis smittede webservere.
> 443 er https - OpenSSL orm?
> 12345 - knægt der har hentet NetBus
> 13978 - ingen anelse, kunne være en kandidat til fuld logging.
> 27374 - knægt der hentet SubSeven
> 64834 - ingen anelse, kunne være en kandidat til fuld logging
> hvis den ses igen - er den i dit NAT range? Kunne være gammel
> NAT'et traffik.
> ICMP - kontroller at du ikke blokerer icmp traffik en router
> har sendt dig for at være flink.
>
> Nu sidder du med to pakker der kunne være interessante at kigge
> på. Ingen af de pakker du har set har udgjort en risiko, det samme
> gælder for de to pakker. Så skal du afgøre med dig selv om du orker
> bruge tid på at skælde ud på de 2 trojaner-klient-brugere, eller om
> du hellere vil gå i seng, sove, og lade der gå et par måneder hvorefter
> de alligevel er blevet trætte af at lege "31337-h4x0rs" (cost/benefit
> analyse).
>
> Og ser du et 'manuelt 'scan på alm. serviceporte, så overvej om der
> er en der ønsker at komme i kontakt med personen bag maskinen,
> f.eks. fordi de har modtaget sære pakker fra adressen.
> Der er stadig en overvægt af rare personer ude i nettet.
>
> Så skal du bare have fundet en måde at se de pakker der slipper
> igennem filteret. Det er de eneste der er risiko ved..
>
> /Kasper
>
Jeg har fundet ud af hvad jeg vil. Jeg vil sove.
Mange tak for hjælpen. og jeg gider ikke gøre noget ved de par stykker som
måske var interessante at forfølge. så jeg stopper min intensive Logging og
bare kikker til den en gang i mellem som jeg altid har gjort.
/Simon Christensen