bonjour
J'utilise IPCop depuis un certain temps et je regarde de temps en temps
les journaux.Mes notions de base en reseau ne me permettent pas de tirer
toutes les conclusions.
Je lis trés souvent dans 'Journaux IDS' : dans la colonne de gauche:
MS-SQL Worm propagation attempt
Mic Attack (ou Misc Activity)
: dans la colonne de droite
date:
priorité:
information sur l'adresse ip:
reference:aucune entrée trouvée
je crois comprendre que j'ai subit une attaque de qq dont l'adresse ip est fournie ,mais qu'il n'a pas pu trouver d'entée? Puis-je en être sûr?
en cliquant sur l'adresse ip , la liaison fourni un nombre impressionant d'in
-fos sur l'auteur?
En fonction de ces renseignements, j'ai bloqué dans /etc/services les ports
psql 1433 et 1434'
Est-ce ainsi qu'il faut faire ou modifier 'rc.firewall' en dropant ces ports?
Si un spécialiste pouvait éclairer, je vrois que bcp de novices seraient intéressés.
Merci
Bien entendu, j'ai d'autres types d'attaque mais j'ai choisi le + fréquent
Il me serait possible d'envoyer un snaphot.
gesar
Journaux IDS
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
par Gandalf » 29 Juil 2005 10:19
Bonjour, tout d'abord IPCOP (comme tout firewall ) bloque tout ce qui vient de l'extérieur, et ces journaux snort ne sont que des alertes ( ça ne veut pas dire que l'attaque est réussie ).
MSQL_Worm_Attempt_Propagation est une alerte classique que Snort détecte souvent ( Slammer je crois, il attaque uniquement les serveurs SQL Microsoft par le port 1434, si ma mémoire est bonne ).
Si tu n'as pas de serveur MS SQL il n'y a pas lieu de s'inquiéter ( tu peux désactiver cette alerte Snort si tu veux ), si tu en as un ( et que tu as forwarder ces ports ) il faut le patcher ( mais s'il reste des serveurs SQL non patchés les proprios de ces dits serveurs ont dus séjourner sur Mars ces 2 dernières années
!! ).
Voili, voilou, @ + !
MSQL_Worm_Attempt_Propagation est une alerte classique que Snort détecte souvent ( Slammer je crois, il attaque uniquement les serveurs SQL Microsoft par le port 1434, si ma mémoire est bonne ).
Si tu n'as pas de serveur MS SQL il n'y a pas lieu de s'inquiéter ( tu peux désactiver cette alerte Snort si tu veux ), si tu en as un ( et que tu as forwarder ces ports ) il faut le patcher ( mais s'il reste des serveurs SQL non patchés les proprios de ces dits serveurs ont dus séjourner sur Mars ces 2 dernières années
!! ).
Voili, voilou, @ + !
/G.
-
Gandalf - Amiral
- Messages: 1980
- Inscrit le: 22 Août 2002 00:00
- Localisation: Strasbourg
Journaux IDS
par gesar » 29 Juil 2005 14:45
Bonjour et merci à Gandalf
je vais rechercher à mieux comprendre ce domaine des blocages ip.
J'ai fait de la formation 'autodidacte sur 'netfilter' (début) , j'ai lu le fichier /etc/rc.d/rc.firewall de IPCop et voilà, je vais continuer
merci
gesar
je vais rechercher à mieux comprendre ce domaine des blocages ip.
J'ai fait de la formation 'autodidacte sur 'netfilter' (début) , j'ai lu le fichier /etc/rc.d/rc.firewall de IPCop et voilà, je vais continuer
merci
gesar
- gesar
- Matelot
- Messages: 6
- Inscrit le: 03 Avr 2005 09:23
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité