snortsnarf

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar cyrille » 09 Nov 2002 23:28

bj tlm <BR>sur mon portable, j'ai installé snort et snortsnarf juste pour essayer, cette machine étant toujours connectée derriere ipcop et pourtant,là, je viens de voir 6 attaques d'une ip qui ne fait pas partie de mon reseau : <BR>[**] [1:1394:3] SHELLCODE x86 NOOP [**] <BR>[Classification: Executable code was detected] [Priority: 1] <BR>11/09-22:00:01.361193 212.27.35.66:80 -> 172.16.0.7:33452 <BR>TCP TTL:64 TOS:0x0 ID:39478 IpLen:20 DgmLen:1500 DF <BR>***AP*** Seq: 0xD2330962 Ack: 0x657B4D1D Win: 0x3EBC TcpLen: 32 <BR>TCP Options (3) => NOP NOP TS: 4412662 3049452 <BR> <BR>Ca me parait vraiment bizarre surtout "SHELLCODE". <BR> <BR>Quelqu'un pour me rassurer (et m'expliquer) <BR> <BR>merci <BR>@+ <BR>
"La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "
Avatar de l’utilisateur
cyrille
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 15 Fév 2002 01:00
Localisation: mezt

Messagepar merou » 10 Nov 2002 00:03

Bon OK, <BR> <BR>change le port 22 de ta debian, mais quelque chose du genre 2200. <BR> <BR>des fois ca arrive juste quand quelqu'un telecharge de ton site web. <BR> <BR>bye, <BR>merou <BR> <BR>
Avatar de l’utilisateur
merou
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 16 Sep 2002 00:00

Messagepar cyrille » 10 Nov 2002 13:41

Qu'est ce que tu entends par "change le port 22" . J'en ai besoin de ce port 22 pour ssh. <BR>Autre chose, il ne s'agit pas d'une debian mais d'une mdk9.0 et dernière chose : personne n'est sensé venir télécharger quoi que ce soit sur cette machine à par moi pour mes essais et donc pas avec cette @ip. De plus je n'ai pas ouvert de port 21 sur ipcop et pas fait de forwarding sur ce port. <BR>Alors comment ces logs ont-ils été produits ? <BR>Et cette histoire de shellcode ? <BR>
"La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "
Avatar de l’utilisateur
cyrille
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 15 Fév 2002 01:00
Localisation: mezt

Messagepar merou » 10 Nov 2002 15:10

Ouais j'ai un pote qui a eu ca en installant sur <BR>une Debian , Mandrake je connais pas du tout. <BR> <BR>Par rapport au ssh, la premiere chose que quelqu'un essaye c'est le port 22, aussi par <BR>prudence t'as bien ton hosts.allow qui ce presente comme ca: <BR>sshd: 192.168.0.1 reseau interne <BR>eventuellement rajouter l'ip du boulot <BR> <BR>Sinon bien sur pour eviter d'etre sujet a un scan de range d'ip, on evite un reply du ping: <BR> <BR>echo 1> /proc/sys/net/ipv4/icmp_echo_ignore_all <BR> <BR>meme chose echo 0 pour remettre en place. <BR> <BR>Bye merou <BR>
Avatar de l’utilisateur
merou
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 16 Sep 2002 00:00

Messagepar cyrille » 10 Nov 2002 19:08

heu, je crois qu'on s'eloigne du sujet / <BR>La question est comment ce fait-il que j'ai dans mes logs une attaque d'une @ip ext. à mon réseau sachant que ma machine se trouve derrière une ipcop et que je n'ai ni ouvert ni forwarder aucun port. Je suis parano ou alors quelqu'un est passé à travers la passerelle ???
"La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "
Avatar de l’utilisateur
cyrille
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 15 Fév 2002 01:00
Localisation: mezt

Messagepar merou » 10 Nov 2002 19:44

apparement une alerte generique d'apres lui: <BR><!-- BBCode u2 Start --><A HREF="http://www.der-keiler.de/Mailing-Lists/securityfocus/focus-ids/2002-04/0037.html" TARGET="_blank">:::SHELLCODE x86 NOOP:::</A><!-- BBCode u2 End --> <BR> <BR>j'ai l'impression que plus on installe de sniffers <BR>plus on panique, j'ai eu la meme experience <BR>avec ntop(stats): <BR> <BR><!-- BBCode u2 Start --><A HREF="http://www.ntop.org/ntop.html" TARGET="_blank">NTOP</A><!-- BBCode u2 End --> <BR> <BR>bYE, <BR>MEROU
Avatar de l’utilisateur
merou
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 16 Sep 2002 00:00

Messagepar cyrille » 10 Nov 2002 22:05

Ok mais pourquoi cette ip ? Pourquoi ipcop ne l'a pas bloquée ?
"La vitesse de la lumière étant supérieure à celle du son, il n'est donc pas anormal que beaucoup de gens paraissent brillants jusqu'à ce qu'ils ouvrent leur $%#&! "
Avatar de l’utilisateur
cyrille
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 15 Fév 2002 01:00
Localisation: mezt

Messagepar merou » 10 Nov 2002 22:57

desole je te suis plus??? <BR> <BR>172.16.0.7 c'est une adresse ip interne( reseau interne, routeur, cable modem et ouais ca fait dhcp quand on perd la connection...) <BR> <BR>l'autre ip c'est la tienne, je suppose???? <BR>
Avatar de l’utilisateur
merou
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 16 Sep 2002 00:00

Messagepar eol » 11 Nov 2002 01:51

regarde du cote de snort.... il y a parfois des faux positifs qui sont detectes... rien d'anormal...
Le paresseux demande un oiseau, le courageux ne demande qu'un arc et des fleches (proverbe indien), auquel j'ajoute : le présomptueux ne demande qu'un arc et une fleche
Avatar de l’utilisateur
eol
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 218
Inscrit le: 11 Sep 2002 00:00
Localisation: Lyon


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron