Traffic Malvaillant ! Est-on vraiment protegé ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Traffic Malvaillant ! Est-on vraiment protegé ?

Messagepar leptitlutin » 04 Jan 2005 16:28

Bonjour,

En lisant mes logs je remarque depuis quelques temps un traffic malin :

11:47:31 OUTPUT eth0 TCP 192.168.1.48 1169 ::::: 10.0.0.80 4163
11:47:31 OUTPUT eth0 TCP 192.168.1.48 1168 ::::: 10.0.0.80 4162
11:47:28 OUTPUT eth0 TCP 192.168.1.48 1169 ::::: 10.0.0.80 4163
11:47:28 OUTPUT eth0 TCP 192.168.1.48 1168 ::::: 10.0.0.80 4162

08:12:17 OUTPUT eth0 TCP 192.168.1.48 2780 ::::: 192.168.0.1 1053
08:12:17 OUTPUT eth0 TCP 192.168.1.48 2780 ::::: 192.168.0.1 1053
08:12:25 OUTPUT eth0 TCP 192.168.1.48 2782 ::::: 192.168.0.1 1055
08:12:28 OUTPUT eth0 TCP 192.168.1.48 2783 ::::: 80.8.54.117 53957


Seul la machine 192.168.1.48 presente un tel traffic et plusieurs antivirus ont été passé sur celle-ci (sans rien trouver).
L'ids ne bronche pas.
Pas de logiciel P2P dans mon reseau.

Si vous avez une idée sur les intertions de cette personne merci de bien vouloir les partager et me dire si les regles de base IPCOP suffisent pour ce genre de pratique. Car voilà bien 2/3 semaines que cette personne fait ce genre de chose donc elle doit avoir des retours positifs pour continuer ainsi !

Merci d'avance.
Dernière édition par leptitlutin le 04 Jan 2005 16:58, édité 1 fois au total.
leptitlutin
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 29 Juil 2004 04:36

Messagepar tomtom » 04 Jan 2005 16:42

Ca ressemble aux ports d'emule...

vire les p2p de ta machine et tu y verras surement deja plus clair !

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar leptitlutin » 04 Jan 2005 16:58

Je dirai juste $%#&! le p2p ;)

Il y a pas un logiciel de P2P chez moi et il y en aura jamais !!!!!!

Donc sa doit pas être la cause.
leptitlutin
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 29 Juil 2004 04:36

Messagepar micjack » 04 Jan 2005 17:02

Oui mais dis nous quelles adresses te sont connus, faisant parties de ton reseau...

Si non, la plage 192.168.x.x me semble etre correct pour etre ton reseau local et celle de 10.0.x.x semble etre ton modem ou routeur ainsi qu' une IP publique qui va bien...

Pour les ports sortant, je ne vois rien d'annormal pour une connexion en intra ou au Web..
Par contre le 53957 sur l'IP public, c'est assez zarb.. Elle apparait systematiquement ??
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar leptitlutin » 04 Jan 2005 17:26

Quelques precisions :

- aucun traffic ne devrai partir de 192.168.1.48 (qui est mon reseau local) car personne n'utilise au moment de "l'attaque" de ce poste.

- ceci ne sont que des exemples. Les ips ne sont jamais les même. (192.168.0.x, 10.0.0.x)

- Je pense que celà est du bonding mais pourquoi et dans quels buts .....

Merci de votre aide :)
leptitlutin
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 29 Juil 2004 04:36

Messagepar phaby » 05 Jan 2005 10:49

Salut,

Regardes si c'est pas un poste où la personne ecoute la radio sur internet .
Il me semble avoir deja vu ça dans ce cas là et tiens nous au courant

BONNE ANNEE A TOUS
Avatar de l’utilisateur
phaby
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 188
Inscrit le: 04 Nov 2003 01:00
Localisation: Pas tres loin

Messagepar tomtom » 05 Jan 2005 11:12

leptitlutin a écrit:- aucun traffic ne devrai partir de 192.168.1.48 (qui est mon reseau local) car personne n'utilise au moment de "l'attaque" de ce poste.


Un poste n'a besoin de personne pour se connecter...
Un coup de tcpdump au moment des logs devrait te donner le traffic...

- ceci ne sont que des exemples. Les ips ne sont jamais les même. (192.168.0.x, 10.0.0.x)

Ca, se sont les ip de destination, mais c'est toujours le mêem poste qui pose problème ?


- Je pense que celà est du bonding mais pourquoi et dans quels buts .....


Du bonding ??? Au sens chimique du terme ou au sens agrégation de liens ?
Tu veux peut-etre parler de spoofing...

Ceci dit, je n'y crois pas, etant donné que ca bloque sur du traffic sortant, c'est probablement bien ta machine en question qui pose problème. D'ailleurs, tu ne vois les logs que parceque les ip de destination sont privées, sinon ça marcherait sans problème.

Il doit y avoir un problème sur ce poste ...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jdh » 05 Jan 2005 11:29

Je ne connais pas bien IPCOP mais il me semble que IPCOP est, de base, configuré pour tout autoriser en sortie (Green vers Red).

L'analyse de Tomtom me semble juste (c'est très souvent le cas ;=) : le PC en question doit générer ce traffic bizarre.

Cela confirme qu'en matière de sécurité, laissez tout sortir C'EST MAL. C'est facile à faire mais il faut l'éviter. Les traffics en sortie autorisables ne sont pas légions quand même : http, https, ftp, dns, ... Donc moi, j'ajoute toujours les règles en sortie (même chez moi).

Je pense que le poste en question doit disposer d'un pgm (service) qui générère le traffic. Donc antivirus, antispy, vérification de la liste des services, des processus, ... puis tcpdump. Par exemple :

tcpdump -ln -i ethX 'host 192.168.1.48' | tee trafic48 (ethX est l'interface Green)

Tu laisses tourner puis tu regardes les ports de destination.
A mon avis en 1h ou 2, tu dois pouvoir trouver ... et tirer une ou 2 oreilles ;=).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar micjack » 05 Jan 2005 13:34

Salut,

Y'a un truc je je pige pas trop sur ses plage 10.0.0.80 et 192.168.0.1.

Certe que ce sont des adresses de destination, tout comme celle de 80.x.x.x, mais Leptitlutin à bien dit que ce n'etait que des exemples.. Alors que sont les vrais log ?

Il ne dit pas si ce sont pour lui des addresses connus de sont reseau.
En quoi cela, ne serrait pas possible qu'il puisse y'avoire du Forwarding entre les reseau ??
j'ai deja eu ce genre de Log entre deux reseaux ainsi quand j'administre mon modem sur 10.0.0.2.

Je pense donc qu'il manque des infos, enfin pour moi en tout cas.. Je ne vois pas ou ces adresses sont Dropés. Mais bon je n'es plus IPCop, donc connait plus trop.

Par contre je connais bien ce genre de Log sur les adresse privées, mais il faudrait qu'il soit verolé par un backdoor sur 192.168.1.48, par contre les port ne sont pas fixes... Cela remet aussi en question la cause du Virus.

PS: J'avais aussi pensé à une mise à jour partant de ce poste, y'avait deja eu un long topic sur le sujet..
En definitive c'etait bien son anti virus qui generait ce genre de trafic.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar leptitlutin » 05 Jan 2005 22:31

Mon souci c'est que ce traffic n'est qu'au niveau du firewall !

Sur le post en question aucun traffic ne part de lui au moment des requettes loggués par le Firewall.

De plus cela arrive qu'avec l'ip 192.168.1.48 de mon reseau. Aucun autre post ne presente ce genre de traffic.

Tomtom : wi je voulais dire spoofing ;) mais j'ai pas tapé ça.

Autre chose : jdh je ne laisse rien sortir ! J'ai modifié les regles de IPCOP pour tous bloquer et réautoriser que les port que je veux. C'est pour celà que je m'inquiete encore plus :?

Par contre j'avais pas vu ke tcpdump était installé sur IPCOP. Je le lance de suite.


Thx pour toutes vos idées.
leptitlutin
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 29 Juil 2004 04:36

Messagepar micjack » 05 Jan 2005 22:49

Heu, juste une question concernant le log d' IPCop..

Donc question au IPCopiens...

Concerne t'il uniquement le trafic passerelle <---> Wan sur IPCop?
Le deuxieme colone est obligatoirement la destination vers le Wan ? (c'est presque la meme question :P )

Cela ressemblait plus à un LOG de trafic comme un Netstat qu'autre chose :?
En gros, tout ce qui passe par la passerelle peut importe la destination est logué

Donc, si la deuxieme colone concerne uniquement le trafic Passerelle<---->Wan , ben dans ce cas effectivement y'a des questions à ce poser... Car rien à faire les 192.168 et 10.0 vers le Net..

Donc si l'on pouvait me confirmer ma question sur le LOG
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar leptitlutin » 06 Jan 2005 00:42

Wi moi je le vois comme celà et je m'inquite car je ne comprend pas bien le but de ces requettes.

Je voudrai connaitre l'impacte, la dangeurosité de la chose, savoir s'il tente de m'atteindre, nuire a d'autre personne, .....

Et malgrès que celà est loggué y a t-il des regles pour celà qui me protège ?
leptitlutin
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 29 Juil 2004 04:36

Messagepar micjack » 06 Jan 2005 00:43

T'a rien en INPUT dans tes log?
Perso, je ne le trouve pas complet :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar tomtom » 06 Jan 2005 00:46

Je suis pas expert en ipcop, mais AMHA la deuxième colone "OUTPUT3 indique un traffic sortant.

Par ailleurs, la troisième colone "eth0" indique l'interface d'entrée du paquet et la 5ème ":::::" devrait indiquer l'interface de sortie ou l'addresse mac destination, mais comme le paquet est droppé (c'est pour ca que c'est dans les logs !!) on ne la voit pas...

Il est possible ma foi qu'un autre poste du reseau prenne cette ip pour faire des trucs, ou que l'ip source soit spoofée effectivement...

Un tcpdump te donnera de toutes facon l'addresse mac de la station emmetrice, tu seras sur de ton coup !


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar micjack » 06 Jan 2005 00:55

C'est quand meme zarb tout ca... C'est baucoup plus pratique avec syslog et de ce qui a été defini avec LOG DROP, mais bon....

Par contre, n'ayant pas eu de reponse concernant la generation du log d' IPCop, je trouvé quelque chose qui me parle..

C'est une personne voulant se connecter avec Wget, mais n'y arrive pas:
wget 216.xxx.xx.xxx:xx
connecting to 216.xxx.xx.xxx:xx... failed: Connection refused.

Son Log IPCop:
11:35:43 input eth1 TCP 172.xx.xxx.xxx 1035 216.xxx.xx.xxx:xx 80 <---- Ben la, ca me parait plus logique... :D

Puis, bizarre aussi de ne rien trouver sur Google
http://www.google.fr/search?hl=fr&q=%22 ... cher&meta=

Ou maigrement avec eth1
http://www.google.fr/search?hl=fr&q=%22 ... cher&meta=

Y' montrent jamais leur log les ICOpiens, ou y savent pas que cela existe ??? :shock:

Merci quand meme Tomtom, mais je reste perplexe....

PS: Houla, par contre quand je me posais la question sur la deuxieme colone, cela concernait la deuxieme range d' IP, celle qui represente l'IP de destination..
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité