Port 10101 --> Symantec

Interesting!  I have an IPS Exception for traffic coming from our Win2003 Server, so I see nothing in our IPS log.  However, look what started appearing in the firewall log at the rate of about one a second - here's the first line:

2011:12:29-00:00:10 post ulogd[4952]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" mark="0x316a" app="362" srcmac="0:13:21:x:y:z" dstmac="0:50:8b:a:b:c" srcip="10.xx.yy.7" dstip="10.xx.yy.34" proto="17" length="618" tos="0x00" prec="0x00" ttl="128" srcport="30553" dstport="10101" 

I just deactivated "snare" on my WinServer (this was the tool used to relay logging to the Astaro for log management), and the entries stopped appearing.

Thanks, Dougga, for the heads-up!

Cheers - Bob

I don't think your issue is reason for concern since both source and destination addresses are private/nonroutable.  My destination is an internet address in California belonging to Symantec.

Actually, when I checked that IP with CentralOps Domain Dossier, I didn't find it connected to Symantec at all.

Cheers - Bob

That's interesting.
I plug the ip address into the tool you reference, and I get the same Symantec reference.
Perhaps I'm misinterpreting this.
The individual ip address has no record but it's found on a network which is directly registered to Symantec.

Network Whois record

Queried whois.arin.net with "n 198.153.192.3"...

NetRange:       198.153.190.0 - 198.153.196.255
CIDR:           198.153.196.0/24, 198.153.192.0/22, 198.153.190.0/23
OriginAS:       
NetName:        NETBLK-OPENVISION
NetHandle:      NET-198-153-190-0-1
Parent:         NET-198-0-0-0-0
NetType:        Direct Assignment
RegDate:        1993-08-11
Updated:        2009-03-26
Ref:            http://whois.arin.net/rest/net/NET-198-153-190-0-1

OrgName:        Symantec Corporation
OrgId:          SYMN-Z
Address:        20330 Stevens Creek Blvd
City:           Cupertino
StateProv:      CA
PostalCode:     95014
Country:        US
RegDate:        2008-08-01
Updated:        2008-10-21
Ref:            http://whois.arin.net/rest/org/SYMN-Z

OrgNOCHandle: SIA9-ARIN
OrgNOCName:   Symantec IP Administrator
OrgNOCPhone:  +1-650-527-8000 
OrgNOCEmail:  dl-it-ip-admin@symantec.com
OrgNOCRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

OrgTechHandle: SIA9-ARIN
OrgTechName:   Symantec IP Administrator
OrgTechPhone:  +1-650-527-8000 
OrgTechEmail:  dl-it-ip-admin@symantec.com
OrgTechRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

OrgAbuseHandle: SIA9-ARIN
OrgAbuseName:   Symantec IP Administrator
OrgAbusePhone:  +1-650-527-8000 
OrgAbuseEmail:  dl-it-ip-admin@symantec.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

RAbuseHandle: SIA9-ARIN
RAbuseName:   Symantec IP Administrator
RAbusePhone:  +1-650-527-8000 
RAbuseEmail:  dl-it-ip-admin@symantec.com
RAbuseRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

RTechHandle: SIA9-ARIN
RTechName:   Symantec IP Administrator
RTechPhone:  +1-650-527-8000 
RTechEmail:  dl-it-ip-admin@symantec.com
RTechRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

RNOCHandle: SIA9-ARIN
RNOCName:   Symantec IP Administrator
RNOCPhone:  +1-650-527-8000 
RNOCEmail:  dl-it-ip-admin@symantec.com
RNOCRef:    http://whois.arin.net/rest/poc/SIA9-ARIN

So I'm opening up this issue again on my side.  I'm getting NTP flood going to this address now.
Clues:
1) I believe this is a Symantec site even using the tool Bob mentioned above.
2) Browsing to the address brings up something associated with Norton DNS [a Symantec trademark]
3) Checking my Astaro DNS configuration I see that I added Symantec public DNS server!!
     The IP addresses I have entered are: 198.153.192.1  & 198.153.194.1  

Thoughts:
1) Given the destination port is the same as originally configured for the now defunct Log Management Service, I believe there is code left on the Astaro service that is leaking this information somehow.  Transmitting logs from all configured internal machines to an unauthorized external corporation would be a massive breach of trust and I suspect law.
2) There may be some relationship between Astaro configured DNS forwarders and the Log Management Service. [this seems far fetched but it's the only link to Symantec I can think of]

This is extremely troubling.

Has anyone else configured Log Management and then seen that it vanished during an update?
It would be very helpful to see how such machines are currently behaving.
Are they sending the logs from all machines outbound?

I'm pretty sure I deactivated it before it disappeared.  I wonder if you might not need to go back to a version that still had it with an old config backup, and disable it there.  I dunno.  Maybe a clean, new install would be best...

Cheers - Bob

Yes, I'll do that.
I believe I have done that so I'm wondering if the config backups are somehow re-implementing something.
I'll have to manually document the configuration to avoid this issue.
[Feature Request]  A human readable config dump so admins can audit and rebuild a system without having to rely on the config backup feature.
Also I'm still puzzled as to why all of my Syslogs would be going to an address at Symantec Corp? I originally placed a firewall rule blocking all traffic involving port 10101.  At some point I deleted it thinking there's no chance this was still an issue.  [I don't keep logs of changes]  Evidently this is still an issue.  

Can you help me out with this?  Was the service a Symantec offering that you were embedding in ASL?

Oh yes, where would I look for clues using the CLI that the Log Manager was still active?

Hmmmm following up on the Symantec syslog offering, I did a quick search:  Symantec Syslog Management

Bingo!
Enterprise Support - Symantec Corp. - Configuring Syslog Director with syslog collectors
 
It's getting clearer what's been going on.
I recommend two things:
1) Review this with your corporate legal officers.
2) Figure out how this is still in effect and send a hotfix turning it off.

Whatever is causing this is a potential mess with associated financial risks.

This makes Google and Facebook privacy practices look like childsplay.

Important Question:  I need to know a lot more about this service and where my [absurdly detailed] system data has been going. Assuming this is related to a contract with Symantec's syslog management team, what are the legal restrictions you have placed on them as to what they can do with this data? Could you please clarify?