Intrusion serieuse

[coaster]

Hello tlm <BR> <BR>Voila je viends d'etre déconnecter (mon speed touch usb c mis à clignoté rouge) et tout de suite g relance SW puis je me suis rendu dans les logs des intrusions et je m'aperçois de ça: <BR> <BR>Date: 03/18 22:51:24 Nom: SCAN Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 194.xx.xx.xx:48503 -> 81.xx.xx.xx:1080 <BR>Références: 1 <BR> <BR>pouvez-vous me dire ce qui cpassé et si cela est grave. <BR> <BR>Merci bcp de votre aide et de vos réponses. <BR> <BR>

[didier]

d'abord ce que tu appelle "attaque" en est une effectivement mais ce n'est certainement pas celle qui t'as fait déconnecter. <BR> <BR>un proxy scan est en fait une méthode de détection de ton proxy, le but n'étant pas de le détriure(ou le percer) mais surtout de regarder quelle version il utilise...en gros ce sont des préliminaires à une attaque. <BR> <BR>Mais pour autant cel ne veux pas dire que tu vas etre attaqué, des centaines de scripts kiddies lance des outils tout fait le matin et regarde le soir ce qu'ils ont réussi à dégotter...en gros est-ce que ya encore un $%#&! qui n'a pas patché son IIS... <BR> <BR>perso j'ai le mm genre d' "attaques" 200 fois par jour, et jusqu'a présent personne n'est rentré donc pas de soucis à se faire...mais c un bon reflexe de regarder de temps en temps ses logs... <BR> <BR>et pour ta déconnection, tourne toi plutot vers wanadoo <IMG SRC="images/smiles/icon_lol.gif">

[DgSe95]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-18 23:37, didier a écrit: <BR>d'abord ce que tu appelle "attaque" en est une effectivement mais ce n'est certainement pas celle qui t'as fait déconnecter. <BR> <BR>un proxy scan est en fait une méthode de détection de ton proxy, le but n'étant pas de le détriure(ou le percer) mais surtout de regarder quelle version il utilise...en gros ce sont des préliminaires à une attaque. <BR> <BR>Mais pour autant cel ne veux pas dire que tu vas etre attaqué, des centaines de scripts kiddies lance des outils tout fait le matin et regarde le soir ce qu'ils ont réussi à dégotter...en gros est-ce que ya encore un $%#&! qui n'a pas patché son IIS... <BR> <BR>perso j'ai le mm genre d' "attaques" 200 fois par jour, et jusqu'a présent personne n'est rentré donc pas de soucis à se faire...mais c un bon reflexe de regarder de temps en temps ses logs... <BR> <BR>et pour ta déconnection, tourne toi plutot vers wanadoo <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>j'ai eu le meme genre d'attaque, il y a quelques temps, mais je ne me suis pas trop inquièté, mais il est vrai que pour un novice, les info fourni par snort peuvent parraitre imcompréhensible... <BR> <BR>si je crois bien me souvenir, d'un jour assez fast, j'ai le même genre d'attaque 100 fois en une journée

[nemesis]

de plus si vous utilisez irc il y a pas mal de serveur de ce type de chanel ki font un scan de proxy car ils ont eut des problemes avec des proxy mal configurés qui faisaient chuter les perf... <BR> <BR>ainsi lorsque je me connecte a irc j'ai régulierement un proxy scan venant toujours de la meme adresse IP et apres verif c'est la machine à laquelle je me connecte... <BR> <BR>ensuite suffit de regarder les connexion etablit si il y a que ce ki a été initialisé par toi (https et peut etre un chti ssh ) y pas trop de soucis à se faire par contre si il y a une connexion spé venant d'une ip etrangère je ne saurai trop conseillé la deconnexion barbare histoire de bien planter le script de l'autre con et d'arreter l'emoragie surtout si c'est un réseau sensible...

[dav1976]

lut, <BR>ca veut dire quoi "priorite 2" <IMG SRC="images/smiles/icon_confused.gif"> <BR>@pluch <IMG SRC="images/smiles/icon_confused.gif">

[nemesis]

c'est un niveau de criticicité qu'attribue snort à une attaque.. <BR>ensuite qud à savoir ce que ça signifie exactement... peut etre qu'en se fadant la doc en entier... <BR> <BR>mais il y a des front end ki le font pour nous... en traduisant ces priorités en niveau de risque .... dc un chti download et hop on teste et on choisit ce ki nous plait <BR> <BR>y en a quelques un directo sur le site de snort <BR>voilààà

[gwerlas]

Par contre, sur ton speedtouch USB, c'est quel voyant qui s'est mis à clignoté rouge ?? <BR> <BR>Si c'est le voyant ADSL, et qu'il n'est pas revenu au vert fixe, c'est FT (ou autre si tu es dégroupé) qui t'a enlevé les broches (ça arrive rarement quand même)... <BR> <BR>Tout est redevenu OK ??