---

Hej

Min trofaste linuxbox med SME version 6 (RH7.3), giver mig denne melding i
/var/log/messages:
Sep 15 21:11:26 perserver kernel: denylog:IN=eth1 OUT=
MAC=00:60:97:b1:c6:38:00:02:3b:02:69:f4:08:00 SRC=216.155.193.136
DST=83.73.137.240 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=46607 DF PROTO=TCP
SPT=5050 DPT=3188 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0

I en ubrudt linie. Er der nogen der ved hvad det nøjagtigt betyder?

eth1 er mit externe netkort og jeg har windows clienter på boksen.
SRC ip er forskellig og SPT port er forskellig.
DTP er som oftest på port 445 men også flere andre.

Min logfil er vel mere end 75% fyldt med disse linier så der må være "noget"
der forstyrrer en hel del.

Per

---

P og T wrote:
> Hej
>
> Min trofaste linuxbox med SME version 6 (RH7.3), giver mig denne
> melding i /var/log/messages:
> Sep 15 21:11:26 perserver kernel: denylog:IN=eth1 OUT=
> MAC=00:60:97:b1:c6:38:00:02:3b:02:69:f4:08:00 SRC=216.155.193.136
> DST=83.73.137.240 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=46607 DF
> PROTO=TCP SPT=5050 DPT=3188 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0
>
> I en ubrudt linie. Er der nogen der ved hvad det nøjagtigt betyder?
>
> eth1 er mit externe netkort og jeg har windows clienter på boksen.
> SRC ip er forskellig og SPT port er forskellig.
> DTP er som oftest på port 445 men også flere andre.
>
> Min logfil er vel mere end 75% fyldt med disse linier så der må være
> "noget" der forstyrrer en hel del.
>

Et godt gæt en forspørgelse er blevet stoppet af din linux boks.
Et andet gæt er at det muligvis er en orm, kan være denne
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deloder.html
SME server er normalt godt beskyttet mod diverse angreb, (de fleste orm er
rettet mod MS).
Der er meget af det i omløb men en SME gateway med Firewall er jo god til at
stoppe den slags.

--
Hilsen Madsen