Ce message du système détection intrusion / svp

[tstatus]

bonsoir, <BR> <BR>que veut dire ce rapport du firewall sous ipcop 1.3 <BR> <BR>Date: 04/30 00:28:13 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 210.78.148.52:1034 -> 195.132.37.149:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR> <BR>d'après ce que j'ai compris, c'est un rapport et une tentative d'intrusion sur le port 1434 ? <BR> <BR>est ce le cas ? <BR> <BR>merci pour votre réponse. <BR> <BR>ts

[coegon]

me semble que c est un script SQL pour scanner tous tes port mais apparement ipcop a rejete cet ip quand il a vu que quelqu un le scannait <BR> <BR>mais faut pas t alarmer j en ai des tonnes de log comme celui ci <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>du moment qu il trouve aucune entree ca va y a no soucis <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>tiens regarde comme preuve mes derniere attack : <BR> <BR>Date: 04/30 10:36:03 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37782 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN Squid Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:38003 -> 81.53.9.36:3128 <BR>Références: aucune entrée trouvée SID: 618 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN Proxy (8080) attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:34964 -> 81.53.9.36:8080 <BR>Références: aucune entrée trouvée SID: 620 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:51227 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:50838 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37389 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37782 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 11:35:25 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 65.26.75.167:1503 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Date: 04/30 12:22:47 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 213.77.206.11:8378 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Date: 04/30 15:31:24 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 207.61.242.67:2697 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>

[nicolas]

c'es toujour le meme qui attaque ou quoi <IMG SRC="images/smiles/icon_eek.gif">

[kerozene]

Bah ouaip, c'est Saphir ou l'un de ses petit frères. 3 mois déjà qu'il galope sur internet. C'est un Worm qui essaye d'attaquer le SQL Server de µsoft en attaquant le 1434 et en le floodant. Tous les antivirus le connaisse maintenant et bon faut croire que y'en a qui les connaisse pas (les antivirus !!!). <BR> <BR>De toute façon, vous n'avez à vous en faire que si vous avez un SQL Server derrière votre IPCop. Si c'est le cas, il faut dévéroller la machine agressé (normalement pas de perte de donnée sauf si du code malin à été ajouté à la version SAPHIR de base) et installer les derniers services packs (SP3) de microsoft.