Résultat audit de sécurit

par **Vinzstyle** » 12 Mai 2003 12:08

Voici le résultat d'un audit de sécurité réalisé pendant la nuit : 1. Risk Classification Summary Vulnerabilities are classified according to the risk they present to the network/host on which they are found. The following chart summarizes how the 4 different issues we found are spread across the different risk classes. Low : 2 (50%) Other : 2 (50%) 3. Comparative Security Rating The comparative security rating assesses your host's security in comparison to the thousands of other audits we have run in the past 12 months. By assigning a score to your audit result, and then comparing it to other scores, you get a percentage rating. For example, if your rating is 90%, then you scored better than 90% of the audits we ran. Obviously, you want your rating as close to 100% as possible. Your rating is: 47.1% N.B. Users should note that this rating is meant as a guide only, and is relative to other audits run in the past 12 months. A rating of 100% does not guarantee you are secure, nor does a lower rating mean you have a vulnerability that someone will take advantage of. In particular, it should be noted that the exact same audit report can mean very different things to different users, depending on the security needs and risk tolerance of the user. 4. Vulnerability Category Summary The vulnerability category summary shows how the various issues that were reported are distributed across the different test categories. General : 1 (other) Misc. : 2 (low, other) Backdoors : 1 (low) 6. Vulnerability Details 11157 Backdoors: Trojan horses Description ssh (22/tcp) An unknown service runs on this port. It is sometimes opened by this/these Trojan horse(s): Adore sshd Shaft Unless you know for sure what is behind it, you'd better check your system ** Anyway, don't panic, Nessus only found an open port. It may ** have been dynamically allocated to some service (RPC...) Solution: if a trojan horse is running, run a good antivirus scanner Risk factor : Low 10287 Misc.: Traceroute Description general/udp For your information, here is the traceroute to xxx.xxx.xxx.xxx : 216.201.108.17 216.187.68.221 216.187.68.93 216.187.90.6 216.18 7.123.234 67.17.161.117 64.214.65.197 67.17.92.34 62.24.34.74 20 8.51.239.198 62.4.16.4 ? Makes a traceroute to the remote host. Risk factor : Low Additional Information: Traceroute is only a problem if the route shown above is revealing sensitive IP addresses internal to your network. If the addresses shown are all upstream to you, then you have no risk associated with this test. If, on the other hand, we are showing private addresses on the traceroute, you should consider filtering ICMP Destination Unreachable (Code 3) and ICMP Time Exceeded (Code 11) messages. This implementation of traceroute works by sending UDP packets with a source port of 1025 and a destination port of 32768 with increasing TTL values. 11268 General: OS fingerprint Description general/tcp Remote OS guess : FreeSCO 0.27 (Linux 2.0.38 kernel) CVE : CAN-1999-0454 This plugin determines which operating system the remote host is running. Guessing the remote operating system allows an attacker to make more focuses attacks and to achieve his goal more quickly This plugin uses the code from Nmap - see <a href="http://www.nmap.org" target="_blank">www.nmap.org</a> Risk factor : None Related Security Advisory Cross Reference(s) Common Vulnerability Exposure (CVE) ID: CAN-1999-0454 Alors y'a pas mal d'erreurs, notament pour le port SSH et l'OS fingerprint.

par **remi** » 12 Mai 2003 13:40

Je comprends pas pourquoi tu as posté ce thread, explique STP... <IMG SRC="images/smiles/icon_confused.gif">

par **antolien** » 12 Mai 2003 14:00

oui, moi non plus, en fait le résultat n'est pas bon à partir du moment ou tu ouvres des ports ici ssh. il y a des troyens qui utilisent le port ssh, mais ici c'est ton serveur pas un virus... pour en venir où ce post au fait ?

par **micj** » 12 Mai 2003 15:05

Bizarre aussi l'identification comme étant un Freesco .... Au fait qui a réalisé cet "audit"? Site web?

par **Vinzstyle** » 12 Mai 2003 15:17

<IMG SRC="images/smiles/icon_lol.gif"> J'ai posté ça au cas où ça interesserait quelqu'un. C'est un audit sur IPcop 1.3.0. Oui, c'est un site web qui a réalisé cet audit (http://www.securityspace.com/sspace/index.html). Ce qui m'inquiete un peu aussi c'est le résultat obtenu : seulement 47,1%

par **Gesp** » 12 Mai 2003 21:48

Franchement c'est pas le 47% qui m'inquiéterait (ni le 0,1 après la virgule d'ailleurs) pour des renseignements aussi nuls que un tracert qui ne dit rien il me semble et un nmap erroné. Quand au ssh d'ouvert sur le port 22, Ipcop répond uniquement sur le Green et en 222 dans la configuration standard. Tu as changé quelquechose à cela?

par **Vinzstyle** » 12 Mai 2003 23:45

Nan, le ssh sur le port 22 c'est normal.

par **coegon** » 13 Mai 2003 10:47

salut il me semble que cet audite a ete fais cote green il me semble car pour detecter le ssh il y a que le cote green qui puisse le voire enfin ca se trouve je dit des betises mais cela m a tout de meme l air interessant est ce possible d avoir plus de detail sur cet audite <IMG SRC="images/smiles/icon_confused.gif">

par **Gesp** » 13 Mai 2003 11:23

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>Nan, le ssh sur le port 22 c'est normal.</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> A moins que tu es changé quelquechose, non ce n'est pas normal. Petit extrait du make.sh (le script qui fabrique la distribution complète) # SSH mv $TMPDIR/build/etc/ssh/sshd_config $TMPDIR/build/etc/ssh/sshd_config.bak cat $TMPDIR/build/etc/ssh/sshd_config.bak | sed '/^X11Forwarding.*$/c X11Forwarding no AllowTcpForwarding no' | sed 's+^#Port 22+Port 222+' > $TMPDIR/build/etc/ssh/sshd_config rm -f $TMPDIR/build/etc/ssh/sshd_config.bak if ! ( grep -q 222 $TMPDIR/build/etc/ssh/sshd_config ); then echo "ERROR: Failed to change ssh port in config" echo " Check $LOGFILE for errors" exit 1 fi On voit bien que le port22 est remplacé par 222 Et puis le test <a href="http://check.sdv.fr/" target="_blank">http://check.sdv.fr/</a> dit que le port 22 (et tous les autres sont fermés depuis le red)

par **Vinzstyle** » 13 Mai 2003 11:34

Oui, mais j'ai un serveur SSH dans la LAN, donc j'ai forwarder mon port 22 <IMG SRC="images/smiles/icon_smile.gif">

par **tomtom** » 13 Mai 2003 11:40

beurk ! Et tu t'etonnes de pas avoir une bonne note ? <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> Tom

par **Vinzstyle** » 13 Mai 2003 11:44

Bah y'a rien de mal à faire ça. En quoi ça compromet ma sécurité ?

par **zashugan** » 30 Mai 2003 17:20

en parlant d'audit, sur : <A HREF="http://www.auditmypc.com/freescan/main.asp?S=207469YZ6V8Z6ZY" TARGET="_blank">http://www.auditmypc.com/freescan/main.asp?S=207469YZ6V8Z6ZY</A> j'ai fait un test de "privacy" et de "security" sur mon petit resau local et je me demande si mon serveur cc 1.3 est vraiment efficace !! après symantec qui me reproche mon port telnet ouvert ( dont j'ignore la bonne manip pour le fermer), c'est autour de myaudit de me reprocher la meme chose. chose surprenanten, lors du test "privacy" il m'a ouvert mes lecteurs cd à distance et a même donné l'ip de mon réseau local caché derrière le serveur!!! Si jamais vous allez sur ce site, faites moi part de vos résultats et conseils à suivre SVP!!! <IMG SRC="images/smiles/icon_cry.gif">

par **dbomber** » 30 Mai 2003 18:29

Pour répondre à Zashugan, non IPCOP 1.3 est VRAIMENT efficace. Perso, je viens de tester le site que tu donnes et ....aucun port d'ouvert sauf le port 4662 (mais c'est normal <IMG SRC="images/smiles/icon_razz.gif"> ). <IMG SRC="images/smiles/icon_up.gif"> Pour l'ouverture du lecteur Cd et lecteur du fichier ini, il est précisé sur le site que c'est du à un trou de sécurité d'IE. Donc IPCOP n'y est pour rien... Pour ton adresse local, c'est bizarre, normalement ce n'est pas possible. Il te dit juste l'adresse publique à laquelle tu es connecté, à savoir l'adresse fourni par ton FAI. Enfin toutes les informations récupérés sur le site sont fait avec javascript, c'est fou les données que l'on peut récupérer comme ça!!! Le seul moyen de noyer le poisson est de passer par des proxy anonyme. Pour le port telnet, est ce que tu l'as ouvert dans l'interface web? Sinon est ce que tu as manipuler les régles IPTABLES?

par **zashugan** » 30 Mai 2003 22:04

concernant les iptables, je n'ai rien touché !! j'ai juste essayé de bloquer le port 23 dans le module firewall bloking de cc1.3 et aussi taper la manip suivante donnée par eol sur son post, étant nouveau dans le monde linux, je l'ai tapée dans la ligne de commande. chmod o-x /usr/bin/telnet meme avec ca ben le port est toujour ouvert et pour mon réseau local, ben je ne vois pas comment le site arrive à me donner l'ip de ma machine interne!! bref, je ne pige plus rien !! <IMG SRC="images/smiles/icon_frown.gif"> <IMG SRC="images/smiles/icon_cry.gif"> <IMG SRC="images/smiles/icon_bawling.gif">

Résultat audit de sécurit

Qui est en ligne ?