31/05/2002, 04:12
|
| Colaborador | | Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes Puntos: 14 | |
Re: De que es esta alerta del Zone Alarms?? Bueno, PRIMERO vamos a explicar un poco los identificadores de alerta de ZA. Luego interpretaremos una de las alertas del log para que así MARKWEB puedas interpretar su sólo el resto. FWROUTE,2002/05/30,21:03:47 -5:00 GMT,200.72.1.37:80,164.77.175.45:1052,TCP (flags:AP)
FWROUTE te indica un bloqueo por parte de ZA de un paquete que en principio no era para tu máquina pero pasó por ella. Utilizaron tú maquina como pasarela. Tienes la fecha, hora, IP, puerto, protocolo y bandera o flags. PE,2002/05/30,21:03:47 -5:00 GMT,Messenger,0.0.0.0:0,N/A
PE te indica que los programas cuyos nombres bienen después, en esta caso el Messenger, intentaron acceder a internet. FWOUT,2002/05/30,02:47:56 -5:00 GMT,164.77.141.91:0,200.83.193.11:0,UDP
FWOUT te indica que ZA bloqueo una peticion que proviene de tu máquina. En este caso (tienes las IPs local y remota) es un intento de conexión bloqueda, peor podría ser perfectamente un programa. FWIN,2002/05/30,02:49:27 -5:00 GMT,200.83.193.11:1977,164.77.141.91:10694,UDP
Si se bloqueó una conexión OUT es por algo. De ahí biene FWIN que te indica el bloqueo de una entrada a tu máquina desde internet (tienes la IP). Fijate que tanto en FWIN como en FWOUT se repite una Ip y lógicamente el protocolo. Se trata de un intento de "diálogo" en el que participa tu máquina y que por supuesto ZA bloqueó. Averigua sobre la Ip remota. FWIN,2002/05/28,22:44:54 -5:00 GMT,164.77.168.118:2856,164.77.130.83:12345,TCP (flags:S)
Ya sabes qie es FWIN. Estudiate entonces este logs y los otros. Fijate en el puerto 12345 sule ser usado por un troyano muy conocido. Sin embargo vemos también el Flag:S de TCP, osease un TCP SYN, que es un intento de conexión TCP. Podría ser una escaneo TCP normalito usando un puerto no tan normal para averiguar si tienes un troyano ?, o es el mismo troyano el que establece la conexión ?. Eso lo averiguas tu.
Un saludo, |