> Apr 11 00:02:38 wildthing : Security Warning: There is modifications for

                  ^^^^^^^^^                           ^^^^^^^^^^^^^^^^

> port listening on your machine :

I know of no Linux application by this name but it would be a fine name

for a cracker.  Also even our friendly Linux-hacking (not cracking)

colleages from Europe who are not native English speakers have better

grammar than this.

Your syslog daemon listens on UDP/IP port 514 and it is trivial to

spoof a message like this.  That probably is what happened.  The solution

is to have your firewall (or IP Chains on your box) block incoming messages

on this port.  Another solution is to get the source to syslog and stop

it from its foolish listening on this port.

It is possible, of course, that you really have been cracked.  A check of

the checksums and mod times of common programs in the bin dirs such as ls,

inetd, etc. would be worth the effort, though a thorough security check is

a lot of work on a system not running Tripwire.

Good luck!

Bob Toxen

">bob@cavu.com

http://www.cavu.com

Fly-By-Day Consulting, Inc.       "Don't go with a fly-by-night outfit!"

Quality Linux & UNIX software consulting since 1990.


--
To unsubscribe: mail ">majordomo@ale.org with "unsubscribe ale" in message body.