Ce message du système détection intrusion / svp

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar tstatus » 30 Avr 2003 22:18

bonsoir, <BR> <BR>que veut dire ce rapport du firewall sous ipcop 1.3 <BR> <BR>Date: 04/30 00:28:13 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 210.78.148.52:1034 -> 195.132.37.149:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR> <BR>d'après ce que j'ai compris, c'est un rapport et une tentative d'intrusion sur le port 1434 ? <BR> <BR>est ce le cas ? <BR> <BR>merci pour votre réponse. <BR> <BR>ts
Avatar de l’utilisateur
tstatus
Matelot
Matelot
 
Messages: 8
Inscrit le: 22 Avr 2003 00:00

Messagepar coegon » 30 Avr 2003 22:40

me semble que c est un script SQL pour scanner tous tes port mais apparement ipcop a rejete cet ip quand il a vu que quelqu un le scannait <BR> <BR>mais faut pas t alarmer j en ai des tonnes de log comme celui ci <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>du moment qu il trouve aucune entree ca va y a no soucis <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>tiens regarde comme preuve mes derniere attack : <BR> <BR>Date: 04/30 10:36:03 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37782 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN Squid Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:38003 -> 81.53.9.36:3128 <BR>Références: aucune entrée trouvée SID: 618 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN Proxy (8080) attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:34964 -> 81.53.9.36:8080 <BR>Références: aucune entrée trouvée SID: 620 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:51227 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:50838 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37389 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 10:36:09 Nom: SCAN SOCKS Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 80.245.32.153:37782 -> 81.53.9.36:1080 <BR>Références: aucune entrée trouvée SID: 615 <BR> <BR>Date: 04/30 11:35:25 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 65.26.75.167:1503 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Date: 04/30 12:22:47 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 213.77.206.11:8378 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>Date: 04/30 15:31:24 Nom: MS-SQL Worm propagation attempt <BR>Priorité: 2 Type: Misc Attack <BR>Informations sur l'adresse IP: 207.61.242.67:2697 -> 81.53.9.36:1434 <BR>Références: aucune entrée trouvée SID: 2003 <BR> <BR>
Avatar de l’utilisateur
coegon
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 08 Avr 2003 00:00

Messagepar nicolas » 04 Mai 2003 20:49

c'es toujour le meme qui attaque ou quoi <IMG SRC="images/smiles/icon_eek.gif">
je ne connais linux mais ne sais pas l'utiliser !
Mais sa va venir
Avatar de l’utilisateur
nicolas
Matelot
Matelot
 
Messages: 6
Inscrit le: 04 Mai 2003 00:00
Localisation: Val d'Oise

Messagepar kerozene » 05 Mai 2003 13:37

Bah ouaip, c'est Saphir ou l'un de ses petit frères. 3 mois déjà qu'il galope sur internet. C'est un Worm qui essaye d'attaquer le SQL Server de µsoft en attaquant le 1434 et en le floodant. Tous les antivirus le connaisse maintenant et bon faut croire que y'en a qui les connaisse pas (les antivirus !!!). <BR> <BR>De toute façon, vous n'avez à vous en faire que si vous avez un SQL Server derrière votre IPCop. Si c'est le cas, il faut dévéroller la machine agressé (normalement pas de perte de donnée sauf si du code malin à été ajouté à la version SAPHIR de base) et installer les derniers services packs (SP3) de microsoft.
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
Avatar de l’utilisateur
kerozene
Amiral
Amiral
 
Messages: 1019
Inscrit le: 25 Déc 2002 01:00
Localisation: LYON


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron