Log Snort assez louche.....

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar mordenkainen » 23 Juin 2003 23:37

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Date: 06/23 00:19:01 <BR>Name: spp_stream4: possible EVASIVE RST detection <BR>Priority: n/a Type: n/a <BR>IP info: 207.46.134.222:80 -> XX.XX.XX.XX:1825 <BR>References: none found SID: n/a <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>(J'ai remplacé mon IP par les X) <BR> <BR>Pour info: l'IP 207.46.134.222 c'est microsoft.com ! <BR> <BR>J'utilise une version 1.2 patché à bloc avec le script Ipban. J'avais déjà banni l'IP de microsoft.net 207.46.134.190 (qui m'avait fait le coup).. <BR>Je souhaiterais d'où ça sort car à l'instant t, je n'avais rien de chez krosoft qui tournait.....Donc.....???? <BR> <BR>Question $%#&!: Rassurez moi, l'ipban marche bien dans les 2 sens ? (de chez moi vers krosoft et de krosoft à chez moi)...
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar Gesp » 24 Juin 2003 08:52

Je ne sais pas si c'est le cas mais ce n'est pas parce que l'adresse de Microsoft qui est indiquée dans le log que c'est Bill qui veut forcément hacker tes PC <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Il suffit que quelqu'un fasse 'joujou' avec un truc qui te forge des paquets IP ou l'adresse de l'envoyeur est falsifié pour que tu ne puisses plus distinguer le vrai Bill du gamin boutonneux à lunette qui dans son garage se prend pour Keven Mitnick avant qu'il n'ait fait un séjour au frais. <BR> <BR>Moi je n'ai pas mis en service Snort : <BR>- principalement parce que c'est un peu bavard à l'établissement et la coupure de la connection et comme je bidouille ces scripts, je préfère ne voir que l'essentiel <BR>- j'ai peu de mémoire sur ce PC <BR>- sans Snort, c'est des vulnérabilités potentielles en moins <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Néanmoins, j'ai vu aussi des trucs bizzares dans la page connections comme d'autres du genre : <BR>p (6) 5 TIME_WAIT 81.48.49.159:4567 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4567 [ASSURED] 1 <BR>tcp (6) 6 TIME_WAIT 81.48.49.159:4568 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4568 [ASSURED] 1 <BR>tcp (6) 8 TIME_WAIT 81.48.49.159:4569 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4569 [ASSURED] 1 <BR>tcp (6) 9 TIME_WAIT 81.48.49.159:4570 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4570 [ASSURED] 1 <BR>tcp (6) 9 TIME_WAIT 81.48.49.159:4571 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4571 [ASSURED] 1 <BR>tcp (6) 12 TIME_WAIT 81.48.49.159:4573 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4573 [ASSURED] 1 <BR>tcp (6) 9 TIME_WAIT 81.48.49.159:4574 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4574 [ASSURED] 1 <BR>tcp (6) 10 TIME_WAIT 81.48.49.159:4575 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4575 [ASSURED] 1 <BR>tcp (6) 10 TIME_WAIT 81.48.49.159:4576 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4576 [ASSURED] 1 <BR>tcp (6) 11 TIME_WAIT 81.48.49.159:4577 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4577 [ASSURED] 1 <BR>tcp (6) 20 TIME_WAIT 81.48.49.159:4578 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4578 [ASSURED] 1 <BR>tcp (6) 13 TIME_WAIT 81.48.49.159:4580 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4580 [ASSURED] 1 <BR>tcp (6) 13 TIME_WAIT 81.48.49.159:4581 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4581 [ASSURED] 1 <BR>tcp (6) 13 TIME_WAIT 81.48.49.159:4582 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4582 [ASSURED] 1 <BR>tcp (6) 13 TIME_WAIT 81.48.49.159:4583 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4583 [ASSURED] 1 <BR>tcp (6) 14 TIME_WAIT 81.48.49.159:4584 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4584 [ASSURED] 1 <BR>tcp (6) 14 TIME_WAIT 81.48.49.159:4585 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4585 [ASSURED] 1 <BR>tcp (6) 14 TIME_WAIT 81.48.49.159:4587 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4587 [ASSURED] 1 <BR>tcp (6) 23 TIME_WAIT 81.48.49.159:4588 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4588 [ASSURED] 1 <BR>tcp (6) 15 TIME_WAIT 81.48.49.159:4589 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4589 [ASSURED] 1 <BR>tcp (6) 15 TIME_WAIT 81.48.49.159:4590 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4590 [ASSURED] 1 <BR>tcp (6) 15 TIME_WAIT 81.48.49.159:4591 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4591 [ASSURED] 1 <BR>tcp (6) 18 TIME_WAIT 81.48.49.159:4592 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4592 [ASSURED] 1 <BR>tcp (6) 16 TIME_WAIT 81.48.49.159:4594 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4594 [ASSURED] 1 <BR>tcp (6) 16 TIME_WAIT 81.48.49.159:4595 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4595 [ASSURED] 1 <BR>tcp (6) 20 TIME_WAIT 81.48.49.159:4596 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4596 [ASSURED] 1 <BR>tcp (6) 18 TIME_WAIT 81.48.49.159:4597 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4597 [ASSURED] 1 <BR>tcp (6) 18 TIME_WAIT 81.48.49.159:4598 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4598 [ASSURED] 1 <BR> <BR>alors je me demande s'il n'y a pas quelqu'un qui envoie des trucs un peu bizzare au gens qui vont sur le site IXUS?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar dbomber » 24 Juin 2003 09:10

Pourquoi tu dis ça Gesp. <BR> <BR>Il me semble que snort détecte un portscan lorsqu'on surf sur ixus, car un nombre important de connection est effectué sur ixus (à chaque envoie de post ou à chaque rafraichissement). C'est ce que tu voulais dire? <BR> <BR>A voir avec Bruno..mais si mes souvenirs sont bons, ceci est normal....
"Se connecter à internet, c'est y rencontrer des centaines de gens avec qui vous n'auriez jamais eu envie d'avoir quelque rapport que ce soit" Dave Barry.
Avatar de l’utilisateur
dbomber
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 30 Nov 2002 01:00
Localisation: Villeurbanne

Messagepar mordenkainen » 24 Juin 2003 09:26

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-24 08:52, Gesp a écrit: <BR>Je ne sais pas si c'est le cas mais ce n'est pas parce que l'adresse de Microsoft qui est indiquée dans le log que c'est Bill qui veut forcément hacker tes PC</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Bah heureusement <IMG SRC="images/smiles/icon_lol.gif"> , quoique qu'avec le coup de l'Upnp c'est déjà un poil limite de leur part à mes yeux je trouve. Enfin bon...je sais toujours pas à quoi ca correspond et si le fait d'avoir rajouter l'IP dans Ipban m'est d'un grand secours (si il y a 'danger' ...). <BR> <BR>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar tomtom » 24 Juin 2003 10:39

J'ai l'impression que ca ressemble à des logs MSN... tu l'utiliss avec proxy par hasard ?? <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Gesp » 24 Juin 2003 11:11

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>J'ai l'impression que ca ressemble à des logs MSN... tu l'utiliss avec proxy par hasard ?? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Si c'est pour moi, je n'avais que IE d'ouvert vers le RED et je n'utilise pas MSN. <BR> <BR>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 24 Juin 2003 11:25

Non Gesp, je parlais de ça <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR> <BR>IP info: 207.46.134.222:80 -> XX.XX.XX.XX:1825 <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar mordenkainen » 24 Juin 2003 12:15

Je n'ai pas MSN (ou tout autres outils du style...), je n'avais pas lancé Outlook également....(dans les dernières versions d'Outlook il y a une apparenté MSN). <BR> <BR>Je n'utilise pas la fonction Proxy..... <BR> <BR> <BR> <BR>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar mordenkainen » 24 Juin 2003 12:19

Pour en revenir au post de Gesp, forger des paquets IP à la volée c'est quand même pas l'outil qui court les rues. Et si le gars maitrise le spoofing à ce point, c'est quoi l'interet de venir chez moi ? <BR>D'autant que la $%#&! des ports est bizarre: du 80 chez microsoft pour débarquer sur 1000 et des poussières chez moi..... <BR>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar Gesp » 24 Juin 2003 13:00

Si tu envoies des paquets spoofés et des paquets innocents avec ta vraie adresse IP en retour, je crois que tu peux déterminer le volume de trafic que la cible reçoit en examinant le numéro de séquence des trames. <BR> <BR>Suivant les systèmes identifiés par un nmap, certains comportent des vulnérabilités en rapport avec le numéro de séquence des trames. <BR> <BR>Tout cela c'est si j'ai à peu près bien compris ce que j'ai lu sur les honey-pots et autres joyeuseutés.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mordenkainen » 24 Juin 2003 13:52

Donc en fait il s'agirait de paquets spoofés pour déterminer si j'ai une desserte conséquente sur l'internet ? <BR>Donc si je continue ton raisonnement, c'est un gentil pirate qui scrute pour voir si mon débit vaut le coup pour faire un dump et y héberger je ne sais quel $%#&!. <BR>Ca me parait un peu gros.....non ? <IMG SRC="images/smiles/icon_confused.gif"> <BR><BR><font size=-2></font>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar Gesp » 24 Juin 2003 16:25

Je ne sais pas du tout, c'est une possibilité éventuelle de l'ordre du techniquement possible. <BR>Je ne pense pas que ce soit le plus probable. <BR> <BR>Ma connaissance du sujet est limitée et je ne pratique pas ce genre de sport. <BR> <BR>Mais s'il existe des outils tout prêt pour le faire, quelqu'un avec des connaissances assez basiques peut utiliser ces outils sans être un expert.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mordenkainen » 24 Juin 2003 16:58

Mouais....Enfin bon, est ce que ma démarche de dénigrer les IPs Microsoft via le script Ipban est valable ? <BR>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00

Messagepar Gesp » 24 Juin 2003 17:24

C'est peut-être pas terrible pour windows-update <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>Si tu fais un ping de l'adresse bannie, tu as une réponse?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar mordenkainen » 24 Juin 2003 19:31

Négatif...Pas de réponses de la part de l'IP..... <BR> <BR>De toutes manières je vais surveiller ça de prêt....Histoire de voir si il y a récurence du truc dans les logs malgré le ban.... <BR>
In google veritas
Avatar de l’utilisateur
mordenkainen
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Sep 2002 00:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité