snort, et plein de truc etrange

[julo_lamballe]

Bonjour,
je viend d'avoir des probleme de relay SMTP et donc j'ai bloqué mon port 25 avec IPTABLES pour eviter la cata.

Donc, pour verifié tous ca j'ai installé snort et j'ai trouvé ca :

[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
12/16-21:18:47.0414 84 62.64.x.x -> 62.193.x.x
ICMP TTL:117 TOS:0x1 ID:8409 IpLen:20 DgmLen:28
Type:8 Code:0 ID:768 Seq:43796 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

Le plus etrange ce n'est pas d'etre scaner par nmap... c'est plutot que je ne connais aucune de c'est deux IP... ni la source ni le destinataire... C'est pas moi, et pour temps, c'est bien mon snort sur mon serveur...

une idee ?

[Gandalf]

Pas d'idée sur ce bout de log ( il faudrait en avoir plus pour commencer à ébaucher une hypoyhèse, et en plus quelle est le type de ta connexion au net ? ) , en revanche au lieu de bloquer ton port 25 interdis le mail relay sur ton serveur de mail ( enfin tu en as un ? ). Autorises juste le relay pour ton nom de domaine et laisse ouvert ton port 25 !

[julo_lamballe]

merci de ta reponse.

effectivement, c'est un serveur web et mail dedié. En faite, j ai laissé ouvert le port 25 seulement pour mon serveur pour qu il puisse m envoyé des mails.

normalement, avec SNORT, je devrais au moin avoir comme IP de destination celui de mon serveur. Comme le reste des notification d'alerte. Mais la, c'est comme ci je servais de relais a nmap...

j ai pas d'idee...