Troyen" Ping A" ?

[ptitluc]

Bonjour à tous <BR> <BR>Je suis un nouvel utilisateur d'IPCop, je découvre tout ça... <BR> <BR> <BR>En regardant les infos de connexions, j'ai vu un protocole ICMP sur le port 8. <BR>ça m'a paru suspect, et Snort me donne des trucs dans ce goût là : <BR> <BR>------------------------------------------------- <BR> <BR>Date: 03/10 00:47:17 Nom: ICMP superscan echo <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 81.49.69.90:n/a -> 81.49.75.53:n/a <BR>Références: aucune entrée trouvée SID: 474 <BR> <BR>Date: 03/10 01:53:13 Nom: ICMP Large ICMP Packet <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 193.252.161.98:n/a -> 81.49.75.53:n/a <BR>Références: aucune entrée trouvée SID: 499 <BR> <BR>------------------------------------------------- <BR> <BR>La liste des chevaux de Troie du site indique que Ping A utilise ce protocole et ce port.<IMG SRC="images/smiles/icon_mad.gif"> <BR>Norton AV ne détecte rien. <BR> <BR>Que faire ? Y'a -t-il un moyen de savoir quel processus utilisait cette connexion ? <BR> <BR>J'ai aussi des "MS-SQL Worm propagation attempt", c'est méchant ou ça fait partie du quotidien ? <BR> <BR>Enfin, une question de débutant : le journal du firewall liste quoi exactement ? les connexions bloquées ? <BR> <BR>J' <IMG SRC="images/smiles/icon_bise.gif"> d'avance merci pour votre aide

[remi]

- Superscan est un logiciel qui scan les ports ouverts d'une machine ou d'un réseau. C un outil facile mais assez peu performant. <BR> <BR>- le journal firewall liste effectivement les connexions bloquées + IP source et IP destination. <BR> <BR>- MS SQL Worm est un vers qui attaque les serveurs SQL... Personnelement j'y est déjà eu droit, mais n'ayant pas de serveur SQL... <BR> <BR>tu peux aller sur <!-- BBCode auto-link start --><a href="http://www.snort.org/snort-db/sid.html?sid=2003" target="_blank">http://www.snort.org/snort-db/sid.html?sid=2003</a><!-- BBCode auto-link end --> pour plus d'infos.

[nemesis]

si je ne me trompe pas MS SQL Worm s'attaque uniquement aux seveurs sql Microsoft... <BR>donc a moins que ce soit une install pour le boulot (où tu peux avoirs des serveurs de ce type et là c'est génant...) en général à la maison quand on a du sql c'est plutot du MySQL ou d'autre truc plus exotiques (Postgressql vous connaisez?? <IMG SRC="images/smiles/icon_razz.gif">) <BR> <BR>du coup pas de probleme.... en tout cas pas avec se vers là.

[antolien]

J'ai souvent des attaques du genre "IIS web attak" ou "CMD codered" des trucs attachés à microsoft alors que c'est un serveur apache... <BR> <BR>Au fait arsenic, tu parles de superscan qui est peu performant, tu n'aurai pas un bon logiciel de scan ou de tests d'intrusion ? <BR> <BR>je suis sur astaro en ce moment et j'aimerai bien vérifier si ç'est costaud. <BR> <BR>merci <IMG SRC="images/smiles/icon_bise.gif">

[ptitluc]

Bien, merci pour ces infos. <BR> <BR>Et vous savez quelquechose à propos de Ping A ? comment je peux surveiller ce truc, au cas ou il serait effectivement sur ma machine ?

[tomtom]

Tout le monde parle de logiciels de scans et de tests d'intrusions... <BR>Moi je vous donne ma référence : <BR> <BR>NMAP + hping2 <BR> <BR>Avec ces deux logiciels disponibles partout et gratuit,vous pouvez deja faire mieux que tous les sites de scan ! <BR> <BR>En plus nmap ca tourne même sous windows maintenant ! <BR> <BR>Evidement pour ce qui est des backdoors, ce n'est pas l'outil adequat <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>Cdt, <BR>Thomas