ICMP PING NMAP par centaine !!!!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

ICMP PING NMAP par centaine !!!!!

Messagepar khidi » 05 Mai 2004 23:42

:shock:

Salut à tous,
Depuis 2 ou 3 jours mon fichier de log SNORT est envahit de centaines de log ICMP PING NMAP Attempted Information Leak SID 469. Je ne sais pas quoi faire, cela rend ilisible le fichier de log qui affiche 600 ou 700 événements par jours, est-ce réelement des scans ou bien serait-il possible que se soit un défaut de config.
D'avance merci de votre aide.
khidi
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2004 14:03

Messagepar Barroudeur 13 » 06 Mai 2004 13:10

Bonjour tout le monde,
Moi aussi j'ai le méme probléme que khidi des centaines de icmp ping nmap et j'ai d'ailleur laissé un post qui n'a jamais eu une seul réponse...
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA

Messagepar khidi » 06 Mai 2004 16:17

:?:
Salut Barroudeur 13, t'es pas chez free par hasard ? réseau 82. et des brouettes ?
khidi
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2004 14:03

Messagepar bouchon » 06 Mai 2004 16:30

Normalement si vous avez bloqué les pings comme l'a dit antolien vous vous en foutez qu'ils soient logués non?
Si vous voulez vous en débarrassez de ces logs il fo alors mettre un # devant la régle de snort correspondant
Ca évite de pourrir les logs.
Avatar de l’utilisateur
bouchon
Major
Major
 
Messages: 72
Inscrit le: 13 Avr 2004 22:28

Messagepar vaneay » 06 Mai 2004 16:38

C'est pas parce que tu ne les voit plus que ça résouds le probleme.
Le truc ce serait d'arreter le massacre à sa source.
Je pense qu'un petit extrait des logs snort envoyé au service abuse@votre-fai.domaine ferra l'affaire.
ça prendra peut etre du temps mais au moins ça permet d'avancer.

Sinon pour bouchon ...

Si tu "cache" juste les alarmes logués par snort, c'est pas pour autant qu'elles vont libèrer ta bande passante (download).
Car meme si ipcop bloque ces tentative tu as quand meme un paquet qui arrive et qui à une taille.
Donc sur un gros flood ça peut représenter pas mal ...

Et après on s'étonne que le d/l est pourri ... 8)
S'il n'y a pas de solution, c'est qu'il n'y as pas de probleme.
Avatar de l’utilisateur
vaneay
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 30 Sep 2002 00:00
Localisation: france

Messagepar stoker » 06 Mai 2004 16:44

salut

juste une intuition....mais depuis quelques jours un virus au doux nom de sasser se balade sur internet.Il n'a pas besoin d'outlook pour se multiplier puisque il exploite une faille de securité du systeme lui meme (genre msblast).Il regarde l'adresse ip du pc verolé (82.160.2.50 par exple) et va executer un ping sur toutes les ip commencant par 82.160.2.0/255.Il ouvre le port 445 sur la machine verolé et s'envoi tout seul comme un grand sur la machine distante(si elle a windaube xp,2000 ou server 2003).
Snort lui voit une attaque ICMP PING NMAP puisque c'est une tentative d'intrusion et non un simple ping.
C'est juste une intuition au vu des informations que j'ai pu glaner ici et là.
Dernière édition par stoker le 06 Mai 2004 16:48, édité 1 fois au total.
Avatar de l’utilisateur
stoker
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 06 Oct 2003 00:00

Messagepar khidi » 06 Mai 2004 16:47

:?

Merci pour vos réponses,

Effectivement j'ai bloqué le ping sur ma machine, j'ai pensé à désactivé l'alerte SNORT, mais comme le dit Vaneay ça résoud pas le pb. J'ai envoyé une copie des log à mon FAI et pis on verra bien, y en a marre des rigolos qui font mumuse, pour tester un soft on le fait sur son réseau local pour en voir l'impact, pas à l'exterieur pour faire Ch... les autres.
khidi
Matelot
Matelot
 
Messages: 3
Inscrit le: 17 Avr 2004 14:03

Messagepar gysmovoile » 06 Mai 2004 18:01

j'ai exactement le meme probleme ....

j'ai environ 400-500 entrée dans snort qui sont des ICMP PING NMAP

mais bon je suis pas sur que d'envoyer les logs à abuse@free.fr fasse bouger les choses ... surtout que toutes les ips sources sont différentes ....
IPCop 1.4.0 - PII 500 - 128 Mo ram - 8Go
LCD externe 4x20 w/ Fesch 0.7 Script
gysmovoile
Major
Major
 
Messages: 100
Inscrit le: 27 Avr 2004 11:03
Localisation: Brest même

Messagepar vaneay » 07 Mai 2004 11:28

Bah en tout cas ça fera avancer un peu les chose car ...
Dans les logs ils auront :

- l'heure
- l'ip spoofé
- l'ip dest ( toi )

donc si les routeurs du FAI gardent une trace des sessions ... en matchant avec l'heure dans les logs.
ils pourront retrouver l'adresse MAC qui a émis ou permis de router le paquet spoofé ... donc on remonte un peu le chemin.

Et dans le pire des cas si ils n'ont pas de logs, il se connecteront en direct sur le routeur et analyserons le traffic en live pour tenter de remonter jusqu'au fauteur de trouble.
S'il n'y a pas de solution, c'est qu'il n'y as pas de probleme.
Avatar de l’utilisateur
vaneay
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 30 Sep 2002 00:00
Localisation: france

Messagepar shadowman » 10 Mai 2004 21:53

salut all,

j'ai exactement le meme pb depuis le 7/05 a 22h15...
ca sent le sasser tout ca, vous trouvez pas ?
en tout cas, ca me le fait chez mamadou en ip dynamique, sur des ip en 80.x.x.x et 212.x.x.x, dc le pb vient pas de chez free... :roll:
Avatar de l’utilisateur
shadowman
Aspirant
Aspirant
 
Messages: 115
Inscrit le: 24 Avr 2003 00:00

Messagepar PengouinPdt » 10 Mai 2004 23:39

Même soucis sur 9Online...

J'ai appelé le Service Technique ... m'ont répondu qu'ils étaient au courant, mais qu'ils ne pouvaient rien faire de plus ! Car, ils n'allaient pas bloquer tous les ports...

:evil: :evil: :evil:
IPCop 2.0 @home
Avatar de l’utilisateur
PengouinPdt
Aspirant
Aspirant
 
Messages: 132
Inscrit le: 07 Oct 2003 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron