snortsnarf

[cyrille]

bj tlm <BR>sur mon portable, j'ai installé snort et snortsnarf juste pour essayer, cette machine étant toujours connectée derriere ipcop et pourtant,là, je viens de voir 6 attaques d'une ip qui ne fait pas partie de mon reseau : <BR>[**] [1:1394:3] SHELLCODE x86 NOOP [**] <BR>[Classification: Executable code was detected] [Priority: 1] <BR>11/09-22:00:01.361193 212.27.35.66:80 -> 172.16.0.7:33452 <BR>TCP TTL:64 TOS:0x0 ID:39478 IpLen:20 DgmLen:1500 DF <BR>***AP*** Seq: 0xD2330962 Ack: 0x657B4D1D Win: 0x3EBC TcpLen: 32 <BR>TCP Options (3) => NOP NOP TS: 4412662 3049452 <BR> <BR>Ca me parait vraiment bizarre surtout "SHELLCODE". <BR> <BR>Quelqu'un pour me rassurer (et m'expliquer) <BR> <BR>merci <BR>@+ <BR>

[merou]

Bon OK, <BR> <BR>change le port 22 de ta debian, mais quelque chose du genre 2200. <BR> <BR>des fois ca arrive juste quand quelqu'un telecharge de ton site web. <BR> <BR>bye, <BR>merou <BR> <BR>

[cyrille]

Qu'est ce que tu entends par "change le port 22" . J'en ai besoin de ce port 22 pour ssh. <BR>Autre chose, il ne s'agit pas d'une debian mais d'une mdk9.0 et dernière chose : personne n'est sensé venir télécharger quoi que ce soit sur cette machine à par moi pour mes essais et donc pas avec cette @ip. De plus je n'ai pas ouvert de port 21 sur ipcop et pas fait de forwarding sur ce port. <BR>Alors comment ces logs ont-ils été produits ? <BR>Et cette histoire de shellcode ? <BR>

[merou]

Ouais j'ai un pote qui a eu ca en installant sur <BR>une Debian , Mandrake je connais pas du tout. <BR> <BR>Par rapport au ssh, la premiere chose que quelqu'un essaye c'est le port 22, aussi par <BR>prudence t'as bien ton hosts.allow qui ce presente comme ca: <BR>sshd: 192.168.0.1 reseau interne <BR>eventuellement rajouter l'ip du boulot <BR> <BR>Sinon bien sur pour eviter d'etre sujet a un scan de range d'ip, on evite un reply du ping: <BR> <BR>echo 1> /proc/sys/net/ipv4/icmp_echo_ignore_all <BR> <BR>meme chose echo 0 pour remettre en place. <BR> <BR>Bye merou <BR>

[cyrille]

heu, je crois qu'on s'eloigne du sujet / <BR>La question est comment ce fait-il que j'ai dans mes logs une attaque d'une @ip ext. à mon réseau sachant que ma machine se trouve derrière une ipcop et que je n'ai ni ouvert ni forwarder aucun port. Je suis parano ou alors quelqu'un est passé à travers la passerelle ???

[merou]

apparement une alerte generique d'apres lui: <BR><!-- BBCode u2 Start --><A HREF="http://www.der-keiler.de/Mailing-Lists/securityfocus/focus-ids/2002-04/0037.html" TARGET="_blank">:::SHELLCODE x86 NOOP:::</A><!-- BBCode u2 End --> <BR> <BR>j'ai l'impression que plus on installe de sniffers <BR>plus on panique, j'ai eu la meme experience <BR>avec ntop(stats): <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.ntop.org/ntop.html" TARGET="_blank">NTOP</A><!-- BBCode u2 End --> <BR> <BR>bYE, <BR>MEROU

[cyrille]

Ok mais pourquoi cette ip ? Pourquoi ipcop ne l'a pas bloquée ?

[merou]

desole je te suis plus??? <BR> <BR>172.16.0.7 c'est une adresse ip interne( reseau interne, routeur, cable modem et ouais ca fait dhcp quand on perd la connection...) <BR> <BR>l'autre ip c'est la tienne, je suppose???? <BR>

[eol]

regarde du cote de snort.... il y a parfois des faux positifs qui sont detectes... rien d'anormal...