Parece como si hubiera detectado dos accesos... Capa el puerto 1243, creo que es el del subseven... Tambien podrias capar la IP de origen de ese ataque.
Por ahí corria un /etc/services con los puertos de los troyanos y to... Si quieres te lo mando, lo suyo es que cortes todos los puertos marcados como "trojan"... A Dimecres 07 Novembre 2001 23:20, Jose Manuel va escriure: > Tras instalar el snort veo en los logs algunas cosas curiosas. > Como estas: > ------------- > [**] Possible SubSeven access [**] > 11/07-21:22:20.645632 62.82.196.151:4652 -> 62.83.151.62:1243 > TCP TTL:122 TOS:0x0 ID:17630 DF > S***** Seq: 0xE2477B5 Ack: 0x0 Win: 0x2238 > TCP Options => MSS: 536 NOP NOP SackOK > > [**] Possible SubSeven access [**] > 11/07-21:22:23.515635 62.82.196.151:4652 -> 62.83.151.62:1243 > TCP TTL:122 TOS:0x0 ID:17750 DF > S***** Seq: 0xE2477B5 Ack: 0x0 Win: 0x2238 > TCP Options => MSS: 536 NOP NOP SackOK > --------------- > > He buscado por ahí y me entero de que el SubSeven es un > troyano para windog. La pregunta es ¿ Estos intentos que son? > Escaneo de puertos para ver si lo tengo instalado? ¿O es algo > mas serio? -- Jaume Sabater - Dep. Sistemes - ARGUS Serveis Telemàtics Per escriure aquest mail no s'han maltractat animals ni s'han usat productes MicroSoft.
