[ml] Possibile intrusione ?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2006 ml@sikurezza.org
Soggetto: [ml] Possibile intrusione ?
Mittente: Alessandro
Data: Mon, 22 May 2006 11:12:27 +0200 (CEST)

Buongiorno a tutta la lista
Da un mese a questa parte mi capitano delle cose strane: 
1. Il sabato e la domenica (non tutti) mi trovo sul pdc (samba) linux delle
richieste bloccate dal host firewall con sorgente ip server Sap (WinNT 4  
   server SP6a) in lan source port 137 UDP (netbios) verso PDC samba con
destination port 33500 (dinamic port)
2. Mi sono trovato per ben due volte il firewall bloccato (Appliance
Soniwall) solitamente il blocco avviene a cavallo tra sabato e domenica

Ho verificato i log dei server, ma non mi sebra di aver rilevato nulla di
anomalo (non ce presenza di errori, tentativi di login ecc.), ho provato
anche con rkhunter e chrootkit ma anche qui non mi rileva niente tutto
regolare.
Puo darsi che non sia niente, oppure un hacker molto bravo nascondersi, ma
ho preferito chiedere a Voi esperti in security in che modo posso muovermi.

Ps. Ho intallato sia in dorsale che in la (bridge mode) Snort + ethereal per
analizare il traffico 


Ringrazione anticipatamente per tutte le risposte
Alessandro

Messaggi successivi:
- Re: [ml] Possibile intrusione ?, Michele Gardellin

Data:
- precedente: Re: [ml] attivita' forense, Paolo Pedaletti
- successivo: Re: [ml] attivita' forense, Matteo G.P. Flora
- indice

Argomento:
- precedente: Re: [ml] Re: gestione allarmi, Gaetano Zappulla
- successivo: Re: [ml] Possibile intrusione ?, Michele Gardellin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005