Analyse des logs d'intrusion

[calamarz]

Salut a tous voilà j'ai une question j'ai 4 IPCOP en VPN mais je m'interesse <BR>a la securité en effet dans mon journal d'intrusion j'ai ceci assez <BR>regulierement c'est dernier temps quelqu'un connait une doc ou un site avec <BR>des explications pour analyser les risques et les logs ??? <BR> <BR>Date: 04/09 06:21:08 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 66.154.20.129:1960 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:1080">mon@IP:1080</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/09 08:57:29 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 61.136.221.53:3125 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:1434">mon@IP:1434</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Merci @pluche

[nemesis]

pour la premiere j'ai le même genre de chose qud je vais sur irc.. <BR> <BR>pour la deuxieme visilement y'en a qui ont tjrs pas fait le menage chez eux apres l'attaque sur les serveurs MS Sql dommage .. <BR> <BR>mais bo si t'as pas un tel serveur tu t'en fous ça fait rien vu ke ça ne marche ke sur les machine hebergeant ces serveurs ça pourrit juste tes logs... moi aussi j'en ai de temps en temps..

[calamarz]

D'apres ce que j'ai vu dans la doc il y a différents niveaux 1, (serieux),2 (pas trop serieux) et 3. Mais la question que je me pose qui peut sembler bete c'est SNORT liste les tentatives d'intrusions mais ces dernieres ne sont pas "réussies" ???? <BR> <BR> Bon c'est vrai je m'inquiete un peu mais c'est normal et donc je voudrais être certain que le Firewall ainsi que le VPN d'IPCOP sont assez sécurisés <BR> <BR> <BR> @pluche

[dbomber]

SNORT ne fait que détecter les intrusions. La plupart du temps, cela rempli les logs. Mais ça a l'avantage de t'avertir lorsque ta machine est "piraté". <BR>En gros si tu as une alerte de niveau 1, tu peux réinstaller ipcop (15 minutes montre en main) parce que snort n'aura fait que détecter l'intrusion, mais ne la pas stoppé.

[Vinzstyle]

Des attaques SQL, rien qu'aujourd'hui y'en a eu 3, et il n'est que 16h10. <BR>Sinon, j'ai pas mal de SCAN SOCKS, SCAN PROXY, ICMP echo scan.

[calamarz]

<BR> Olala bon et bien je commence a paniquer la sur mon deuxieme site !!!!! je commence a devenir parano <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR> <BR> <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR> <IMG SRC="images/smiles/icon_eek.gif">

[irl]

Si tu savais le nombre d'attaques que je me tape sur mon site !!! <BR>Web-IIS, PHP attack etc et j'en passe .... mais ils l'ont dans le $%#&! car j'utilise apache sous win 2000 et pas IIS !!??? nanananere <BR>et le site php je le développe moi même et j'utilise pas php-nuke. <BR>En gros : <BR> <BR>Date: 04/09 00:04:55 Name: WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.27.79:2692 -> 217.136.32.146:80 <BR>References: none found SID: 1243 <BR> <BR>Date: 04/09 00:04:55 Name: WEB-IIS cmd.exe access <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.27.79:2692 -> 217.136.32.146:80 <BR>References: none found SID: 1002 <BR> <BR>Date: 04/09 00:21:38 Name: WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.37.168:2134 -> 217.136.32.146:80 <BR>References: none found SID: 1243 <BR> <BR>Date: 04/09 14:15:40 Name: WEB-IIS CodeRed v2 root.exe access <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.145.231:4108 -> 217.136.32.146:80 <BR>References: none found SID: 1256 <BR> <BR>Date: 04/09 14:16:04 Name: WEB-IIS unicode directory traversal attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.145.231:4389 -> 217.136.32.146:80 <BR>References: none found SID: 1945 <BR> <BR> <BR> . <BR>. <BR>. <BR>. <BR> <BR>Rien q'aujourd(hui : 75 attaques et il n'est que 20h18 !!!!! <BR>Si je savais qui c'est je le flingue ! <BR>

[ShonGail]

le prob c'est que ce ne sont pas des virus qui font cela !?? Ou bien s'agit-il de vrai gens derrière leurs pc ?

[kerozene]

Bah disons que derrière un log, il peut tout y avoir ! <BR> <BR>Des virus, des worms et autres bestioles du genres c'est tout à fait possible, mais y'a aussi beaucoup de gamin qui font joujou avec des logiciels de "hacks"(cf le defacement de Ixus !). Enfin bon, généralement, c'est pas ceux là les plus dangereux : SNORT les log et généralement ton IPCop les bloque. <BR> <BR>Paranoïa oblige, j'aurais tendance à te dire que les plus dangereux, c'est ceux que tu ne vois pas <IMG SRC="images/smiles/icon_eek.gif"> . Sur le peu que je connaisse du hacking, l'une des première rêgle à appliquer c'est efface les traces que tu laisses. Donc un bon hacker sera non seulement sur ta machine sans que tu le sache mais en plus fera un petit nettoyage dans tes logs. Et tu sauras jamais qu'il est venu ! <BR> <BR>Mais bon, est ce qu'un hacker de ce calibre aura un intérêt quelconque à pirater ton réseau ??? J'aurais tendance à penser que quand ils ont atteint ce niveau, ces chers hackers considère leurs intrusions plus comme un sport qu'autre chose, et il préfèrera vraisemblablement tenter la NASA, le FBI ou ECHELON (bonne chance pour ce dernier !). Tiens d'ailleurs, ca me fait penser, y'a quelq'un qui est au courant de l'histoire concernant la NASA ? il paraitrait que quiconque trouve une faille dans leur réseau est embauché à prix d'or pour faire les corrections qui s'imposent jusqu'à la prochaine intrusion mais j'ai jamais su si c'était de l'info ou de l'intox. Si quelqu'un à des sources un peu plus sûres que des on-dit, je suis preneur ! Nan, je vous rassure, je compte pas m'y attaquer, c'est plus de la curiosité qu'autre chose ! <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>@++ <BR> <BR>Kero <BR> <BR>_________________ <BR><!-- BBCode Start --><B>" Le Tabac c'est tabou, on en viendra tous a bout ! "</B><!-- BBCode End --> - Le Pari <BR><BR><BR><font size=-2></font>