besoin d'aide sur les LOGS d'ipcop

[dj_sniper]

Bonjour à tous!

J'ai souvent ce log qui revient dans le journal firewall :

16:06:52 INPUT eth1 TCP 82.226.99.41 2325 XX:XX:XX:XX:XX XXX.XXX.XXX.XXX [b]445(MICROSOFT-DS)[/b]

à quoi correspond ce log? opuvez vous m'éclairer please. thx![/b]

[shwing]

le titre de ton message devrait être un peu plus précis...

besoin d'aide sur les LOGS d'ipcop, par exemple.

[Muzo]

Titre modifié

[pulsergene]

bonsoir

16:06:52 INPUT eth1 TCP 82.226.99.41 2325 XX:XX:XX:XX:XX XXX.XXX.XXX.XXX 445(MICROSOFT-DS)

c'est une tentative d'entrée depuis l'IP 82.226.99.41 utilisant le protocole TCP depuis le port 2325 vers ton ip sur le port 445
Si je ne dis pas de betises

bonne soirée

[wallegen]

<cite>

Nous constatons une augmentation considerable des scans sur le
port 445 (microsoft-ds).
Cette activite est attribuee a la propagation d'un ver/virus
Internet: W32/Lioten-A

On constate cette activite dans beaucoup d'autres pays:
http://isc.incidents.org/
Sur ce site on peut aussi trouver une page qui fait la
distinction des remontees en fonction des pays source des
attaques:
http://isc.incidents.org/country_report.html

Lioten est un ver qui se propage par le biais des partages
reseaux non proteges. Le protocole utilise pour les partages
(fichiers, imprimantes, etc...) sur les reseaux Microsoft est
le protocole SMB ("Server Message Block"). Depuis la version
2000 de Windows, Microsoft a ajoute la possibilite d'utiliser
le protocole SMB directement sur TCP/IP. Le port utilise pour
"SMB sur TCP" est le 445/tcp.

Lorsque Lioten est execute, il lance 100 processus concurrents
charges de generer aleatoirement des adresses IP. Les adresses
IP generees seront utilisees comme nouvelles cibles pour etendre
la propagation du ver.

Les systemes Windows 2000/XP permettent d'etablir des connexions
nulles ou "null session" (aucun nom d'utilisateur, ni de mot de
passe requis pour se connecter). Les systemes Windows NT aussi,
mais a priori, plutot sur le port 139/tcp alors que sur les systemes
Windows 2000/XP le port 445/tcp est de preference utilise.

Le ver utilise le port 445/tcp pour se tenter de se connecter a ses
cibles. A priori, le ver va tenter de se connecter au partage IPC$
sur les adresses generees, en utilisant un compte anonyme (pour
etablir une session "nulle").

Une fois sa connexion etablie, le ver essaie de casser des mots de
passe utilisateur sur le systeme afin d'etendre ses privileges sur
le systeme. Pour cela, il utilise une liste de mots de passe faibles
sans doute assez courants.

Si ces tentatives sont couronnees de succes, il tente de localiser
le repertoire Systeme et d'y copier un exemplaire de son code sous
le nom %system%\Iraq_oil.exe (%system% est une variable qui
represente le chemin du repertoire Systeme).

Si le compte utilisateur pirate possede un niveau de privilege
suffisant (notamment, si ce compte a des privileges administrateur),
le ver peut alors programmer a distante une execution du ver a un moment
de son choix (a priori peu de temps apres cette connexion). La encore,
une restriction: l'execution programmee du ver necessite la presence
sur le systeme cible d'une fonction qui n'existe pas sur Windows 95/98/Me,
ce qui rend le ver inoperant sur ces systemes.

En cette occasion, nous vous rappelons que bloquer les acces au ports
135-139 en TCP et en UDP et aux ports 445 en TCP et en UDP permet de
limiter les risques encourus en cas de propagation d'un ver de ce type.

</cite>

[dj_sniper]

merci pour ta réponse.
Une autre question : le journal du firewall log bien les paquets droppés.
Et le journal IDS, il log quoi exactement? les intrusion bloqué/droppé, ou bien les réussite d'intusion
Merci.

[kolt]

Salut,

Les paquets décrits dans le journal du pare-feux sont bien ceux dans : https://adresse-ip-ipocp/cgi-bin/logs.cgi/firewalllog.dat ? Ce fichier trace tout ce qui est bloqué ?

Comment est-ce possible de voir dans la colonne source de ce fichier une adresse de mon GREEN? la source ne devrait-elle pas venir toujours du RED?

Comment est-ce possible de voir dans la colonne destination de ce fichier une adresse de mon GREEN? ça veut-il dire que l'internet connait l'ip de mon GREEN?

Et le journal IDS, il log quoi exactement? les intrusion bloqué/droppé, ou bien les réussite d'intrusion

même question.

Merci

[kolt]

salut,

Et le journal IDS, il log quoi exactement? les intrusions bloquées/droppées, ou bien les réussites d'intrusion

je viens de réaliser ce que j'ai cité y-a maintenant une semaine ...
quelle $%#&! et oui vraiment si jamais un journal de firewall arrivait à enregistrer les réussites d'intrusion ça voudrais dire qu'il se moquerait bien de moi du style t'as vu ce que je t'ai laissé passer là, !

Peut-on confirmer mes supositions:
j'ai procéder le transfer de port suivant:
TCP DEFAULT IP : 5001 IP du poste GREEN : 5001

dans le firewallog.dat j'ai
19:30:52 NEW not SYN? eth0 TCP IP du poste GREEN 5001 ::::: 81.44.2.245 24799
ce qui veut dire que mon poste GREEN:5001 essaie d'établir une connexion vers le RED 81.44.2.245:24799 et que ipcop rejetète soit encore 81.44.2.245:24799 ne voit jamais aucun paquet de chez moi?

20:07:28 NEW not SYN? ppp0 TCP 80.51.118.1 4940 ::::: IP du poste GREEN 5001
un RED 80.51.118.1:4940 essaie d'établir une connexion avec mon GREEN:5001 et que ipcop rejète au niveau de l'interface RED?

merci de me dire oui.

[dj_sniper]

up.
pour la question sur le journal ids