/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Hvad betyder denne melding?
Fra : P og T


Dato : 15-09-04 21:34

Hej

Min trofaste linuxbox med SME version 6 (RH7.3), giver mig denne melding i
/var/log/messages:
Sep 15 21:11:26 perserver kernel: denylog:IN=eth1 OUT=
MAC=00:60:97:b1:c6:38:00:02:3b:02:69:f4:08:00 SRC=216.155.193.136
DST=83.73.137.240 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=46607 DF PROTO=TCP
SPT=5050 DPT=3188 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0

I en ubrudt linie. Er der nogen der ved hvad det nøjagtigt betyder?

eth1 er mit externe netkort og jeg har windows clienter på boksen.
SRC ip er forskellig og SPT port er forskellig.
DTP er som oftest på port 445 men også flere andre.

Min logfil er vel mere end 75% fyldt med disse linier så der må være "noget"
der forstyrrer en hel del.

Per



 
 
Madsen (15-09-2004)
Kommentar
Fra : Madsen


Dato : 15-09-04 23:09

P og T wrote:
> Hej
>
> Min trofaste linuxbox med SME version 6 (RH7.3), giver mig denne
> melding i /var/log/messages:
> Sep 15 21:11:26 perserver kernel: denylog:IN=eth1 OUT=
> MAC=00:60:97:b1:c6:38:00:02:3b:02:69:f4:08:00 SRC=216.155.193.136
> DST=83.73.137.240 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=46607 DF
> PROTO=TCP SPT=5050 DPT=3188 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0
>
> I en ubrudt linie. Er der nogen der ved hvad det nøjagtigt betyder?
>
> eth1 er mit externe netkort og jeg har windows clienter på boksen.
> SRC ip er forskellig og SPT port er forskellig.
> DTP er som oftest på port 445 men også flere andre.
>
> Min logfil er vel mere end 75% fyldt med disse linier så der må være
> "noget" der forstyrrer en hel del.
>

Et godt gæt en forspørgelse er blevet stoppet af din linux boks.
Et andet gæt er at det muligvis er en orm, kan være denne
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deloder.html
SME server er normalt godt beskyttet mod diverse angreb, (de fleste orm er
rettet mod MS).
Der er meget af det i omløb men en SME gateway med Firewall er jo god til at
stoppe den slags.

--
Hilsen Madsen





Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste