<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>

<pre>Hi, all:</pre>

<pre>    I have a win2k box compromised. After I boot up that box, I use snoop to find that it sends</pre>

<pre>lots of packets to remote machines on port 80 from random local ports. I set up a snort box to plugin to oracle</pre>

<pre>database. When I query tcphdr table, I found tcp_sport contains port 80, while tcp_dport contains random ports.</pre>

<pre></pre>

<pre>any suggestions.</pre>

<pre>Gongya Yu</pre>

<pre>
=================================</pre>
 </html>