sniff port ?

[zedd75]

Hello a tous, <BR> <BR>J4ai ca dans mes logs noyau, je sais pas ce que c'est ? <BR> <BR>02:20:51 kernel INPUT IN=eth2 OUT= MAC=00:60:4c:0e:af:cf:00:60:4c:0e:af:ce:08:00 SRC=194.206.157.146 DST=monippublique LEN=404 TOS=0x00 PREC=0x00 TTL=119 ID=25379 PROTO=UDP SPT=63331 DPT=1434 LEN=384 <BR> <BR> <BR>J'en ai plein partout avec des adresse src differentes. <BR> <BR>Est-ce du a wshaper ? <BR> <BR>Edd <BR>

[tomtom]

MySQL WORM <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>Je suppose que ton firewall ferme le port UDP 1434 et qu'il fait du LOG-DROP sur les paquets INPUT bloqués, ce qui fait que tu les retrouve dans le kernel.log (ne pas oublier que iptables travaille au niveau kernel, et que donc les -j LOG envoient au klogd, c'est à dire aux log kernel !). <BR>Si tu vois ca c'est deja bon signe, c'est que tu les bloques ! <BR> <BR>Ce qui est mauvais, c'est que l'on continue à avoir cette saleté sur le net.... <BR> <BR> <BR>Je te conseille de chercehr dans tes règles FW pour arreter de le logger si tu n'utilises pas un LOGRotate, car ca va gonfler pour rien <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR> <BR>T.

[zedd75]

Dans le meme genre, <BR> <BR>pourquoi snort ne demarre pas ? <BR>P200, 8Go (C trop) 64Mo (C pas assez ?) <BR> <BR>Edd <BR>

[acdsee]

64mo de ram ca devrais suffir <BR> <BR>je pense que tu as cocher snort dans l'interface web <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR>et il me semble que quand tu regarde dans information tu le vois "en fonction" que quand tu est connecter (mais il me semble juste je peux me trompé) <BR> <BR>si non regarde les log de snort ca t'aideras surement ...

[belugha]

Réponse là <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3766" target="_blank">http://forums.ixus.net/viewtopic.php?t=3766</a><!-- BBCode auto-link end --> <BR>

[zedd75]

JE dopis etre cpon, mais je ne vois pas de reponse a ma question dans ce post...que j'avais lu d'ailleurs <IMG SRC="images/smiles/icon_smile.gif">) <BR> <BR>Edd

[zedd75]

Et les logs de Snort...Ben y en a pas...

[grosbedos]

yep des logs dans le fichier alert y en a pas forcemment vu qui tourne pas! <BR> <BR>il faudrait que tu regardes les logs du kernel (/var/log/messages) et que tu cherches des infos concernant snort..genre pourquoi il s'arrete etc..

[zedd75]

Je crois que le probleme vient de la. <BR> <BR>Jun 6 18:35:48 stopedd snort: FATAL ERROR: Undefined variable name: (/etc/snort/snort.conf:42): DNS_SERVERS <BR> <BR>La variable DNS_SERVER est stockée dans /etc/snort/vars <BR> <BR>Apparemment, cette variable est recréée a chaque démarrage, donc je peux l'integrer dans ce fichier direct. <BR> <BR>Je rappelle que j'utilise IPCop pour Sagem sur du free degroupé dhcp. <BR>Apparemment, il y a un probleme dans le passage de certains paramètre...dont le dns <BR> <BR>Voir GESP pour plus d'info <BR> <BR>Edd

[zedd75]

J'ai donc integre la valeur de monde DNS1 directement dans /etc/snort/snort.conf <BR> <BR>vi snort.conf <BR>puis <BR> <BR>var DNS_SERVERS 212.x.x.x <BR> <BR>j'ai pas mieux pour l'instant <BR> <BR>Edd