[FUGSPBR] crack pop

irado furioso com tudo irado em m-net.arbornet.org
Qua Maio 29 18:06:54 BRT 2002 

Em  29 May 2002 17:32:16 -0300
Dorian Bolivar <dbolivar em uol.com.br>, conhecido dependente de drogas
(Coke e BigMac's), wrote:


> Mas o PortSentry consegue "monitorar" o que está trafegando por uma
> determinada porta? Pelo menos até onde mexi com ele, eram só
> bloqueios por tentativas de acessos e flood em determinadas portas,
> e coisas afim. Quer dizer, ele não analisava o tráfego em si. Muito
> me interessa se você conseguiu implementar algo do gênero com ele,
> visto que foi o único IDS que usei "de verdade" até agora... :-)
>

é o que tenho visto.Observe trechos do meu /var/log/messages:

:============= begin
May  9 10:16:58  portsentry[19610]: attackalert: Host 200.155.0.114
has been blocked via dropped route using command: "/sbin/ipchains -I
input -s 200.155.0.114 -j DENY -l" May  9 10:16:58  portsentry[19610]:
attackalert: Unknown/Illegal scan type: TCP Packet Flags: FIN 0 SYN: 0
RST: 0 PUSH: 0 ACK: 1 URG: 0 UNUSED1: 0 UNUSED2: 0 scan from host
200.155.0.114/200.155.0.114 to TCP port: 1524 from TCP port: 80 May  9
10:16:58  portsentry[19610]: attackalert: Host: 200.229.133.210 is
already blocked - Ignoring May  9 10:17:43  last message repeated 37
times May  9 10:18:00  last message repeated 33 times
May  9 10:18:02  portsentry[19610]: attackalert: Host 200.207.9.250
has been blocked via wrappers with string: "ALL: 200.207.9.250" May  9
10:18:02  portsentry[19610]: attackalert: Host 200.207.9.250 has been
blocked via dropped route using command: "/sbin/ipchains -I input -s
200.207.9.250 -j DENY -l" May  9 10:18:02  portsentry[19610]:
attackalert: TCP SYN scan from host 200.207.9.250/200.207.9.250 to TCP
port: 80 from TCP port: 1092:============= end

havia alguma coisa com porta 110 também (e 111), mas o arquivo estava
grande demais pra sair procurando. 

-- 

saudações,

irado furioso com tudo
Linux User 179402
mais crimes são cometidos em nome das religiões do que em nome do
ateísmo.
______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd