Snort ?!!!

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

Publier une réponse

Snort ?!!!

Messagepar spawn44 » 18 Avr 2004 11:09

Bonjour a tous !
J'ai des logs que je n'arrive pas a decoder sur snort...

"Apr 16 09:31:55 gateway snort: [1:528:4] BAD-TRAFFIC loopback traffic [Classification: Potentially Bad Traffic] [Priority: 2]: {TCP} 127.0.0.1:80 -> 80.15.43.232:1392"

Ya plus de 100 alertes entre hier soir et ce matin !!! J'ai ete voir sur le site snort avec le SID de l'alerte mais ca me donne pas bcp plus d'info....
Sur ma Clark ya rien d'exeptionnel : postfix, module webmail, et samba....

Serait-ce le module Webmail le responsable de ces alertes ?? Ou est-ce une belle intrusion ?

Merci d'avance de votre aide...
Ipcop 1.4.15 Dell GX110 (celeron 600 256mo)
Clarkconnect 3.2
AP : Linksys WRT54G DD-WRT
Macbook 2.0ghz
P4 2.4 Linux/SBS2003
Avatar de l’utilisateur
spawn44
Major
Major
 
Messages: 71
Inscrit le: 30 Avr 2003 00:00
Localisation: AIN
Haut

Messagepar spawn44 » 18 Avr 2004 14:01

Je precise que l'adresse IP de destination est a chaque fois celle de ma connection ADSL !
Quelle est la nature de cette connection ??
Ipcop 1.4.15 Dell GX110 (celeron 600 256mo)
Clarkconnect 3.2
AP : Linksys WRT54G DD-WRT
Macbook 2.0ghz
P4 2.4 Linux/SBS2003
Avatar de l’utilisateur
spawn44
Major
Major
 
Messages: 71
Inscrit le: 30 Avr 2003 00:00
Localisation: AIN
Haut

Messagepar lenode » 20 Avr 2004 22:43

Salut,

Perso, j'ai installé une ClarckConnect il y a environ 7-8 mois. Depuis je l'ai remplacé par une autre distribution plus adapté.

Bref, tes messages snort sont des messages d'intrusion sur ta machine.
Des packets IP formaté avec une adresse IP "127.0.0.1" comme expéditeur, essayer de rentrer sur ta machine.

Snort le détecte. Mais rien ne dit que les packets sont arrétés.

L'origine de ces packets truqués est simplement la multitude de virus sur Internet.

Cepandant, les informations données ci-dessus sont soumises à vérification.(c'est que cela date maintenant).

Allez, @+

Bye
Avatar de l’utilisateur
lenode
Premier-Maître
Premier-Maître
 
Messages: 63
Inscrit le: 25 Sep 2003 00:00
Haut

Messagepar spawn44 » 20 Avr 2004 23:15

Merci de ta reponse ! je pensais que le sens etait inverse avant que tu ne me reponde.....
En fait je pensais que ma CC tentait une connection vers l'exterieur... Me vla rassuré
Ipcop 1.4.15 Dell GX110 (celeron 600 256mo)
Clarkconnect 3.2
AP : Linksys WRT54G DD-WRT
Macbook 2.0ghz
P4 2.4 Linux/SBS2003
Avatar de l’utilisateur
spawn44
Major
Major
 
Messages: 71
Inscrit le: 30 Avr 2003 00:00
Localisation: AIN
Haut

Messagepar jubec » 21 Avr 2004 11:37

lenode a écrit:Salut,

Snort le détecte. Mais rien ne dit que les packets sont arrétés.

L'origine de ces packets truqués est simplement la multitude de virus sur Internet.


Je suis pas sur que ce soit des intrusions puisque j'ai le même problème et je ne suis pas connecté directement au net puisque je passe par des FW et par un réseau local...
J'ai ce message : BAD-TRAFFIC IP Proto 103 (PIM) 2004-04-21 10:56:57 10.10.5.253 224.0.0.13 PIM

De plus sait tu comment faire pour ignorer des adresses IP en particulier pke j'arrive pas à configurer le preprocessor flow-portscan

Merci de ton aide :wink:
Avatar de l’utilisateur
jubec
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 172
Inscrit le: 08 Avr 2004 16:57
Localisation: Chambéry
Haut
Publier une réponse

Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron