besoin d'aide sur les LOGS d'ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

besoin d'aide sur les LOGS d'ipcop

Messagepar dj_sniper » 07 Fév 2005 16:16

Bonjour à tous!

J'ai souvent ce log qui revient dans le journal firewall :

16:06:52 INPUT eth1 TCP 82.226.99.41 2325 XX:XX:XX:XX:XX XXX.XXX.XXX.XXX [b]445(MICROSOFT-DS)[/b]

à quoi correspond ce log? opuvez vous m'éclairer please. thx![/b]
dj_sniper
Matelot
Matelot
 
Messages: 4
Inscrit le: 07 Fév 2005 16:13

Messagepar shwing » 07 Fév 2005 16:38

le titre de ton message devrait être un peu plus précis...

besoin d'aide sur les LOGS d'ipcop, par exemple.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Muzo » 07 Fév 2005 17:48

Titre modifié :wink:
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar pulsergene » 08 Fév 2005 23:48

bonsoir

16:06:52 INPUT eth1 TCP 82.226.99.41 2325 XX:XX:XX:XX:XX XXX.XXX.XXX.XXX 445(MICROSOFT-DS)

c'est une tentative d'entrée depuis l'IP 82.226.99.41 utilisant le protocole TCP depuis le port 2325 vers ton ip sur le port 445
Si je ne dis pas de betises

bonne soirée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar wallegen » 09 Fév 2005 00:09

<cite>

Nous constatons une augmentation considerable des scans sur le
port 445 (microsoft-ds).
Cette activite est attribuee a la propagation d'un ver/virus
Internet: W32/Lioten-A

On constate cette activite dans beaucoup d'autres pays:
http://isc.incidents.org/
Sur ce site on peut aussi trouver une page qui fait la
distinction des remontees en fonction des pays source des
attaques:
http://isc.incidents.org/country_report.html

Lioten est un ver qui se propage par le biais des partages
reseaux non proteges. Le protocole utilise pour les partages
(fichiers, imprimantes, etc...) sur les reseaux Microsoft est
le protocole SMB ("Server Message Block"). Depuis la version
2000 de Windows, Microsoft a ajoute la possibilite d'utiliser
le protocole SMB directement sur TCP/IP. Le port utilise pour
"SMB sur TCP" est le 445/tcp.

Lorsque Lioten est execute, il lance 100 processus concurrents
charges de generer aleatoirement des adresses IP. Les adresses
IP generees seront utilisees comme nouvelles cibles pour etendre
la propagation du ver.

Les systemes Windows 2000/XP permettent d'etablir des connexions
nulles ou "null session" (aucun nom d'utilisateur, ni de mot de
passe requis pour se connecter). Les systemes Windows NT aussi,
mais a priori, plutot sur le port 139/tcp alors que sur les systemes
Windows 2000/XP le port 445/tcp est de preference utilise.

Le ver utilise le port 445/tcp pour se tenter de se connecter a ses
cibles. A priori, le ver va tenter de se connecter au partage IPC$
sur les adresses generees, en utilisant un compte anonyme (pour
etablir une session "nulle").

Une fois sa connexion etablie, le ver essaie de casser des mots de
passe utilisateur sur le systeme afin d'etendre ses privileges sur
le systeme. Pour cela, il utilise une liste de mots de passe faibles
sans doute assez courants.

Si ces tentatives sont couronnees de succes, il tente de localiser
le repertoire Systeme et d'y copier un exemplaire de son code sous
le nom %system%\Iraq_oil.exe (%system% est une variable qui
represente le chemin du repertoire Systeme).

Si le compte utilisateur pirate possede un niveau de privilege
suffisant (notamment, si ce compte a des privileges administrateur),
le ver peut alors programmer a distante une execution du ver a un moment
de son choix (a priori peu de temps apres cette connexion). La encore,
une restriction: l'execution programmee du ver necessite la presence
sur le systeme cible d'une fonction qui n'existe pas sur Windows 95/98/Me,
ce qui rend le ver inoperant sur ces systemes.

En cette occasion, nous vous rappelons que bloquer les acces au ports
135-139 en TCP et en UDP et aux ports 445 en TCP et en UDP permet de
limiter les risques encourus en cas de propagation d'un ver de ce type.

</cite>
wallegen
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 01 Fév 2005 15:48

Messagepar dj_sniper » 10 Fév 2005 21:32

merci pour ta réponse.
Une autre question : le journal du firewall log bien les paquets droppés.
Et le journal IDS, il log quoi exactement? les intrusion bloqué/droppé, ou bien les réussite d'intusion :?:
Merci.
dj_sniper
Matelot
Matelot
 
Messages: 4
Inscrit le: 07 Fév 2005 16:13

Description journal du pare-feux

Messagepar kolt » 12 Fév 2005 00:48

Salut,

Les paquets décrits dans le journal du pare-feux sont bien ceux dans : https://adresse-ip-ipocp/cgi-bin/logs.cgi/firewalllog.dat ? Ce fichier trace tout ce qui est bloqué ?

Comment est-ce possible de voir dans la colonne source de ce fichier une adresse de mon GREEN? la source ne devrait-elle pas venir toujours du RED?

Comment est-ce possible de voir dans la colonne destination de ce fichier une adresse de mon GREEN? ça veut-il dire que l'internet connait l'ip de mon GREEN? :cry:

Et le journal IDS, il log quoi exactement? les intrusion bloqué/droppé, ou bien les réussite d'intrusion
même question.

Merci
Avatar de l’utilisateur
kolt
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 12 Jan 2004 01:00

Messagepar kolt » 18 Fév 2005 23:12

salut,

Et le journal IDS, il log quoi exactement? les intrusions bloquées/droppées, ou bien les réussites d'intrusion


je viens de réaliser :shock: ce que j'ai cité y-a maintenant une semaine :idea: ...
quelle $%#&! et oui vraiment si jamais un journal de firewall arrivait à enregistrer les réussites d'intrusion ça voudrais dire qu'il se moquerait bien de moi du style t'as vu ce que je t'ai laissé passer là, :) !

Peut-on confirmer mes supositions:
j'ai procéder le transfer de port suivant:
TCP DEFAULT IP : 5001 IP du poste GREEN : 5001

dans le firewallog.dat j'ai
19:30:52 NEW not SYN? eth0 TCP IP du poste GREEN 5001 ::::: 81.44.2.245 24799
ce qui veut dire que mon poste GREEN:5001 essaie d'établir une connexion vers le RED 81.44.2.245:24799 et que ipcop rejetète soit encore 81.44.2.245:24799 ne voit jamais aucun paquet de chez moi?

20:07:28 NEW not SYN? ppp0 TCP 80.51.118.1 4940 ::::: IP du poste GREEN 5001
un RED 80.51.118.1:4940 essaie d'établir une connexion avec mon GREEN:5001 et que ipcop rejète au niveau de l'interface RED?

merci de me dire oui.
Avatar de l’utilisateur
kolt
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 12 Jan 2004 01:00

Messagepar dj_sniper » 27 Fév 2005 21:50

up.
pour la question sur le journal ids
dj_sniper
Matelot
Matelot
 
Messages: 4
Inscrit le: 07 Fév 2005 16:13


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité