Snort : j'attaque qqun ??

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Snort : j'attaque qqun ??

Messagepar Burps » 29 Mars 2004 13:42

Salut
Quand je regarde les logs de mon IDS, je remarque que MON IP envoie des "(http_inspect) BARE BYTE UNICODE ENCODING", sur internet :

Date:: 03/29 09:16:42 Nom: (http_inspect) BARE BYTE UNICODE ENCODING
Priorité: n/a Type:: n/a
Informations sur l'adresse IP: Mon_IP_publique:3360 -> 82.64.215.125:80
Références: aucune entrée trouvée SID: n/a

Ca part de mes ports 2260, 3320, 3189, 4909, 4904, 4839, ...

Est-ce que j'aurai un trojan, ou un truc comme ca ?
Est-ce que c'est serieux le BARE BYTE machin ?
Avatar de l’utilisateur
Burps
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 21 Fév 2004 01:00
Localisation: Limoges, a qqch pres...

Messagepar christian67 » 29 Mars 2004 20:36

Bonsoir,

Il y a déjà eue une question du même genre sur le post suivant :

http://www.ixus.net/resume_messages.php?topic=13961

Affaire à suivre, mais avec Windows, pas évident de savoir ce qui se passe réellement...
Si ces logs proviennent d'un Win2000, je commencerai par vérifier les services qui tournent sur la station 2000.

Cordialement

Christian67
" Il n'existe que 10 sortes de personnes : Ceux qui comprennent le binaire et les autres. "
Avatar de l’utilisateur
christian67
Major
Major
 
Messages: 98
Inscrit le: 29 Mai 2003 00:00
Localisation: Strasbourg

Messagepar Burps » 29 Mars 2004 21:27

J'avais été voir ce post, mais ca m'a pas été franchement utile...

Est-ce que je dois appliquer Snort sur mon GREEN ? oour vérifier si ces "attaques" viennent de mon XP (que des XP dans le LAN) ?
Avatar de l’utilisateur
Burps
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 21 Fév 2004 01:00
Localisation: Limoges, a qqch pres...

Messagepar micjack » 29 Mars 2004 21:50

Je ne sais pas si ta BARE BYTE machin est serieuse mais se qui compte
c' est la suite:

"Informations sur l'adresse IP: Mon_IP_publique:3360 -> 82.64.215.125:80 "

C' est un port dynamique ouvert sur un serveur Web, donc rien d'annormal

"Ca part de mes ports 2260, 3320, 3189, 4909, 4904, 4839, ... "

Ben, justement cela confirme tes connexions...

"est-ce que j'aurai un trojan, ou un truc comme ca ? "

Je ne pense pas

PS: Durant ces logs, a tu fait du P2P ou du Msn ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Burps » 29 Mars 2004 21:55

ouaip, p2p ET msn.

Bon, si tu me dis que c'est pas grave, alors c cool
Merci

Ah tiens, dans ces cas-la, ya un moyen pour dire a Snort d'arreter de logger ca ?

re-merci
Avatar de l’utilisateur
Burps
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 21 Fév 2004 01:00
Localisation: Limoges, a qqch pres...


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité