Analyse des logs d'intrusion

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar calamarz » 09 Avr 2003 12:38

Salut a tous voilà j'ai une question j'ai 4 IPCOP en VPN mais je m'interesse <BR>a la securité en effet dans mon journal d'intrusion j'ai ceci assez <BR>regulierement c'est dernier temps quelqu'un connait une doc ou un site avec <BR>des explications pour analyser les risques et les logs ??? <BR> <BR>Date: 04/09 06:21:08 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 66.154.20.129:1960 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:1080">mon@IP:1080</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/09 08:57:29 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 61.136.221.53:3125 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:1434">mon@IP:1434</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Merci @pluche
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar nemesis » 09 Avr 2003 12:44

pour la premiere j'ai le même genre de chose qud je vais sur irc.. <BR> <BR>pour la deuxieme visilement y'en a qui ont tjrs pas fait le menage chez eux apres l'attaque sur les serveurs MS Sql dommage .. <BR> <BR>mais bo si t'as pas un tel serveur tu t'en fous ça fait rien vu ke ça ne marche ke sur les machine hebergeant ces serveurs ça pourrit juste tes logs... moi aussi j'en ai de temps en temps..
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar calamarz » 09 Avr 2003 14:01

D'apres ce que j'ai vu dans la doc il y a différents niveaux 1, (serieux),2 (pas trop serieux) et 3. Mais la question que je me pose qui peut sembler bete c'est SNORT liste les tentatives d'intrusions mais ces dernieres ne sont pas "réussies" ???? <BR> <BR> Bon c'est vrai je m'inquiete un peu mais c'est normal et donc je voudrais être certain que le Firewall ainsi que le VPN d'IPCOP sont assez sécurisés <BR> <BR> <BR> @pluche
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar dbomber » 09 Avr 2003 14:28

SNORT ne fait que détecter les intrusions. La plupart du temps, cela rempli les logs. Mais ça a l'avantage de t'avertir lorsque ta machine est "piraté". <BR>En gros si tu as une alerte de niveau 1, tu peux réinstaller ipcop (15 minutes montre en main) parce que snort n'aura fait que détecter l'intrusion, mais ne la pas stoppé.
"Se connecter à internet, c'est y rencontrer des centaines de gens avec qui vous n'auriez jamais eu envie d'avoir quelque rapport que ce soit" Dave Barry.
Avatar de l’utilisateur
dbomber
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 30 Nov 2002 01:00
Localisation: Villeurbanne

Messagepar Vinzstyle » 09 Avr 2003 16:14

Des attaques SQL, rien qu'aujourd'hui y'en a eu 3, et il n'est que 16h10. <BR>Sinon, j'ai pas mal de SCAN SOCKS, SCAN PROXY, ICMP echo scan.
Avatar de l’utilisateur
Vinzstyle
Amiral
Amiral
 
Messages: 1150
Inscrit le: 25 Jan 2003 01:00
Localisation: Les Lilas (93)

Messagepar calamarz » 09 Avr 2003 18:01

<BR> Olala bon et bien je commence a paniquer la sur mon deuxieme site !!!!! je commence a devenir parano <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR> <BR> <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR>Date: 04/08 17:28:10 Nom: WEB-CLIENT javascript URL host spoofing attempt <BR>Priorité: 1 Type: Attempted User Privilege Gain <BR>Informations sur l'adresse IP: 198.133.219.25:80 -> <!-- BBcode auto-mailto start --><a href="mailto:mon@IP:2198">mon@IP:2198</a><!-- BBCode auto-mailto end --> <BR>Références: aucune entrée trouvée SID: 1841 <BR> <BR> <IMG SRC="images/smiles/icon_eek.gif">
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar irl » 09 Avr 2003 20:23

Si tu savais le nombre d'attaques que je me tape sur mon site !!! <BR>Web-IIS, PHP attack etc et j'en passe .... mais ils l'ont dans le $%#&! car j'utilise apache sous win 2000 et pas IIS !!??? nanananere <BR>et le site php je le développe moi même et j'utilise pas php-nuke. <BR>En gros : <BR> <BR>Date: 04/09 00:04:55 Name: WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.27.79:2692 -> 217.136.32.146:80 <BR>References: none found SID: 1243 <BR> <BR>Date: 04/09 00:04:55 Name: WEB-IIS cmd.exe access <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.27.79:2692 -> 217.136.32.146:80 <BR>References: none found SID: 1002 <BR> <BR>Date: 04/09 00:21:38 Name: WEB-IIS ISAPI .ida attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.37.168:2134 -> 217.136.32.146:80 <BR>References: none found SID: 1243 <BR> <BR>Date: 04/09 14:15:40 Name: WEB-IIS CodeRed v2 root.exe access <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.145.231:4108 -> 217.136.32.146:80 <BR>References: none found SID: 1256 <BR> <BR>Date: 04/09 14:16:04 Name: WEB-IIS unicode directory traversal attempt <BR>Priority: 1 Type: Web Application Attack <BR>IP info: 217.136.145.231:4389 -> 217.136.32.146:80 <BR>References: none found SID: 1945 <BR> <BR> <BR> . <BR>. <BR>. <BR>. <BR> <BR>Rien q'aujourd(hui : 75 attaques et il n'est que 20h18 !!!!! <BR>Si je savais qui c'est je le flingue ! <BR>
ARQUENNES-BELGIQUE
Avatar de l’utilisateur
irl
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 209
Inscrit le: 12 Fév 2002 01:00

Messagepar ShonGail » 09 Avr 2003 20:28

le prob c'est que ce ne sont pas des virus qui font cela !?? Ou bien s'agit-il de vrai gens derrière leurs pc ?
Avatar de l’utilisateur
ShonGail
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 207
Inscrit le: 21 Fév 2003 01:00

Messagepar kerozene » 09 Avr 2003 21:12

Bah disons que derrière un log, il peut tout y avoir ! <BR> <BR>Des virus, des worms et autres bestioles du genres c'est tout à fait possible, mais y'a aussi beaucoup de gamin qui font joujou avec des logiciels de "hacks"(cf le defacement de Ixus !). Enfin bon, généralement, c'est pas ceux là les plus dangereux : SNORT les log et généralement ton IPCop les bloque. <BR> <BR>Paranoïa oblige, j'aurais tendance à te dire que les plus dangereux, c'est ceux que tu ne vois pas <IMG SRC="images/smiles/icon_eek.gif"> . Sur le peu que je connaisse du hacking, l'une des première rêgle à appliquer c'est efface les traces que tu laisses. Donc un bon hacker sera non seulement sur ta machine sans que tu le sache mais en plus fera un petit nettoyage dans tes logs. Et tu sauras jamais qu'il est venu ! <BR> <BR>Mais bon, est ce qu'un hacker de ce calibre aura un intérêt quelconque à pirater ton réseau ??? J'aurais tendance à penser que quand ils ont atteint ce niveau, ces chers hackers considère leurs intrusions plus comme un sport qu'autre chose, et il préfèrera vraisemblablement tenter la NASA, le FBI ou ECHELON (bonne chance pour ce dernier !). Tiens d'ailleurs, ca me fait penser, y'a quelq'un qui est au courant de l'histoire concernant la NASA ? il paraitrait que quiconque trouve une faille dans leur réseau est embauché à prix d'or pour faire les corrections qui s'imposent jusqu'à la prochaine intrusion mais j'ai jamais su si c'était de l'info ou de l'intox. Si quelqu'un à des sources un peu plus sûres que des on-dit, je suis preneur ! Nan, je vous rassure, je compte pas m'y attaquer, c'est plus de la curiosité qu'autre chose ! <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>@++ <BR> <BR>Kero <BR> <BR>_________________ <BR><!-- BBCode Start --><B>" Le Tabac c'est tabou, on en viendra tous a bout ! "</B><!-- BBCode End --> - Le Pari <BR><BR><BR><font size=-2></font>
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité