[Log SNORT] Newbie demande precisions

[rasta42]

A la suite d'une deconnection d'IPCOP, je suis allé voir les journaux pour voir ce qui s'était passé. Et j'ai trouvé ces entrée dans le log de SNORT <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Date: 04/01 13:54:57 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 194.206.196.30:80 -> 62.***.***.***:61250 <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/01 13:54:57 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 194.206.196.30:80 -> 62.***.***.***:61250 <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/01 14:18:50 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 194.206.196.30:80 -> 62.***.***.***:61459 <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/01 14:18:51 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 194.206.196.30:80 -> 62.***.***.***:61459 <BR>Références: aucune entrée trouvée SID: 1841 <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>En cliquant sur le lien relatif au SID 1841, j'ai attéri sur une page du site <!-- BBCode auto-link start --><a href="http://www.securityfocus.com" target="_blank">www.securityfocus.com</a><!-- BBCode auto-link end --> m'indiquant les différentes vulnerabilité. Et en regardant a nuveau les logs, j'ai trouvé ca : <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Date: 04/01 16:16:46 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 205.206.231.10:80 -> 62.***.***.***:63734 <BR>Références: aucune entrée trouvée SID: 1841 <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Quant je demande un requete DNS sur l'IP, il me dit que ca vient justement de <!-- BBCode auto-link start --><a href="http://www.securityfocus.com." target="_blank">www.securityfocus.com.</a><!-- BBCode auto-link end --> <BR> <BR>Alors, voici mes questions : <BR>1 - Visiblement cette intrusion a l'air grave est-ce qu'en fermant le port scanné ca suffira a réglé le Pb ? <BR>2 - La derniere intrusion me parait bizarre. ? <IMG SRC="images/smiles/icon_confused.gif"> Qu'en pensez-vous

[gwerlas]

Quelqu'un sur ton réseau aurait pas des pratiques de lamers ?? <BR> <BR>Ca ressemble a quelqu'un de chez toi qui chercherai à spoofer une adresse. <BR> <BR>Moins probable, quelqu'un qui essaye de spoofer une machine de chez toi. <BR> <BR>As-tu confiance en tout les gars de ton réseau ??

[rasta42]

Pour la derniere intrusion, j'ai trouvé. En fait, le site en question utilisait l'exploit pour faire la demonstration de la vulnerabilite (meme si visiblement ca n'a pas eu l'air de marcher chez moi). <BR> <BR>En ce qui concerne les autres intrusions, si j'ai bien compris ca vient d'un code javascript inclus dans une page html. Mais La recherche DNS sur l'ip ne donne rien alors que quand j'entrte l'ip comme url (vu que c'est passé par le port 80) je tombe sur un site que mes postes clients n'ont apparamment pas visité. <BR> <BR>Pour l'instant, le mystere reste encore entier.

[tomtom]

fais plutot un whois sur l'ip qu'une resolution dns..... <BR>

[rasta42]

A l'aide du Whois, je trouve bien la meme societe que le site sur lequel j'atterissait avec l'IP. Ce qui m'etonne c'est qu'apparamment personne de mon reseau n'est allé sur ce site.<IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>En revanche, c'est une societe qui bosse notamment dans la realisation de services telematiques et internet. Est-ce qu'ils mettraient des sales script dans les applis qu'il vendent a leurs clients ???

[SNORK]

ben ouai ça se fait, s'ils ont livré des trucs chez toi... Il est d'usage de demandé aux services instalés chez des client d'envoyer de leurs nouvelles de temps en temps pour voir s'ils n'avaient pas fait de petits... <BR> <BR>He hé <IMG SRC="images/smiles/icon_rolleyes.gif">

[rasta42]

Ben oui mais le hic, c'est que je suis pas un de leurs clients. J'ai envoyé un mail a l'admin de cette société hier : Wait and see.