Interpretation de log firewall

[snoopyouaib]

Bonjour,

Depuis 3 jours le journal des log du pare feu est remplit par la ligne suivante :

Chaîne Interface Protocole Source Port Source Destination Port de Destination
OUTPUT ppp0 TCP 195.115.85.109 53664 ip.de.mon.smtp 25(SMTP)

C'est sur un IPCop 1.3 qui est en prod sur une connexion 1024/256 pro et d'habitude le journal enregistre entre 300 et 400 acces par jour mais maintenant je passe à 1800/2000 et toujours avec cette même ligne.

Je m'inquiète un peu, voudrais t'on se servir de mon serveur smtp afin de faire du spam ou autre joyeusetée ?

Merci d'avance

[Billou02]

Je m'inquiète un peu, voudrais t'on se servir de mon serveur smtp afin de faire du spam ou autre joyeusetée ?

Merci d'avance

Salut
Est tu certain de ne pas avoir de virus sur la machine en question (195.115.85.109) ?
Genre un vers qui se propage par email ou autre

car apparement le pb viens de cette ip la.

ou alors voici un lien qui te permettra de savoir ce qui transite par le port 53664

http://www.seifried.org/security/ports/53000/53664.html

Verifie et dis nous quoi.

[snoopyouaib]

Non, le 195.115.85.109 est une machine exterieure à mon réseau, une recherche dns me donne :

inetnum: 195.115.85.96 - 195.115.85.111
netname: COFATHEC
descr: LYON
country: FR
admin-c: BJ2473-RIPE
tech-c: BJ2473-RIPE
status: ASSIGNED PA
mnt-by: CEGETEL-ENTREPRISES
changed: thomas.richert@cegetel.fr 20010704
source: RIPE

Je connais personne chez Cegetel, et cette IP tente donc de connecter mon server SMTP sur le port 25 qui est tranféré par mon IPCop.
C'est galère.

[trax2539]

n'hésites pas à contacter cette personne pour lui faire part du problème!

[snoopyouaib]

J'ai du nouveaux, depuis 11h30, certainement heure de fermeture de leurs bureaux le firewall c'est calmé.
J'en déduit donc qu'un de leur poste est infecté et que cela risque de reprendre lundi vers 8/9 heure.
Si c'est bien le cas je contacterais leur service afin qu'ils vérifient, enfin j'espère.
@suivre...