Log Snort assez louche.....

par **mordenkainen** » 23 Juin 2003 23:37

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 06/23 00:19:01 Name: spp_stream4: possible EVASIVE RST detection Priority: n/a Type: n/a IP info: 207.46.134.222:80 -> XX.XX.XX.XX:1825 References: none found SID: n/a </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> (J'ai remplacé mon IP par les X) Pour info: l'IP 207.46.134.222 c'est microsoft.com ! J'utilise une version 1.2 patché à bloc avec le script Ipban. J'avais déjà banni l'IP de microsoft.net 207.46.134.190 (qui m'avait fait le coup).. Je souhaiterais d'où ça sort car à l'instant t, je n'avais rien de chez krosoft qui tournait.....Donc.....???? Question $%#&!: Rassurez moi, l'ipban marche bien dans les 2 sens ? (de chez moi vers krosoft et de krosoft à chez moi)...

par **Gesp** » 24 Juin 2003 08:52

Je ne sais pas si c'est le cas mais ce n'est pas parce que l'adresse de Microsoft qui est indiquée dans le log que c'est Bill qui veut forcément hacker tes PC <IMG SRC="images/smiles/icon_biggrin.gif"> Il suffit que quelqu'un fasse 'joujou' avec un truc qui te forge des paquets IP ou l'adresse de l'envoyeur est falsifié pour que tu ne puisses plus distinguer le vrai Bill du gamin boutonneux à lunette qui dans son garage se prend pour Keven Mitnick avant qu'il n'ait fait un séjour au frais. Moi je n'ai pas mis en service Snort : - principalement parce que c'est un peu bavard à l'établissement et la coupure de la connection et comme je bidouille ces scripts, je préfère ne voir que l'essentiel - j'ai peu de mémoire sur ce PC - sans Snort, c'est des vulnérabilités potentielles en moins <IMG SRC="images/smiles/icon_smile.gif"> Néanmoins, j'ai vu aussi des trucs bizzares dans la page connections comme d'autres du genre : p (6) 5 TIME_WAIT 81.48.49.159:4567 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4567 [ASSURED] 1 tcp (6) 6 TIME_WAIT 81.48.49.159:4568 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4568 [ASSURED] 1 tcp (6) 8 TIME_WAIT 81.48.49.159:4569 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4569 [ASSURED] 1 tcp (6) 9 TIME_WAIT 81.48.49.159:4570 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4570 [ASSURED] 1 tcp (6) 9 TIME_WAIT 81.48.49.159:4571 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4571 [ASSURED] 1 tcp (6) 12 TIME_WAIT 81.48.49.159:4573 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4573 [ASSURED] 1 tcp (6) 9 TIME_WAIT 81.48.49.159:4574 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4574 [ASSURED] 1 tcp (6) 10 TIME_WAIT 81.48.49.159:4575 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4575 [ASSURED] 1 tcp (6) 10 TIME_WAIT 81.48.49.159:4576 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4576 [ASSURED] 1 tcp (6) 11 TIME_WAIT 81.48.49.159:4577 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4577 [ASSURED] 1 tcp (6) 20 TIME_WAIT 81.48.49.159:4578 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4578 [ASSURED] 1 tcp (6) 13 TIME_WAIT 81.48.49.159:4580 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4580 [ASSURED] 1 tcp (6) 13 TIME_WAIT 81.48.49.159:4581 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4581 [ASSURED] 1 tcp (6) 13 TIME_WAIT 81.48.49.159:4582 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4582 [ASSURED] 1 tcp (6) 13 TIME_WAIT 81.48.49.159:4583 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4583 [ASSURED] 1 tcp (6) 14 TIME_WAIT 81.48.49.159:4584 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4584 [ASSURED] 1 tcp (6) 14 TIME_WAIT 81.48.49.159:4585 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4585 [ASSURED] 1 tcp (6) 14 TIME_WAIT 81.48.49.159:4587 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4587 [ASSURED] 1 tcp (6) 23 TIME_WAIT 81.48.49.159:4588 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4588 [ASSURED] 1 tcp (6) 15 TIME_WAIT 81.48.49.159:4589 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4589 [ASSURED] 1 tcp (6) 15 TIME_WAIT 81.48.49.159:4590 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4590 [ASSURED] 1 tcp (6) 15 TIME_WAIT 81.48.49.159:4591 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4591 [ASSURED] 1 tcp (6) 18 TIME_WAIT 81.48.49.159:4592 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4592 [ASSURED] 1 tcp (6) 16 TIME_WAIT 81.48.49.159:4594 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4594 [ASSURED] 1 tcp (6) 16 TIME_WAIT 81.48.49.159:4595 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4595 [ASSURED] 1 tcp (6) 20 TIME_WAIT 81.48.49.159:4596 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4596 [ASSURED] 1 tcp (6) 18 TIME_WAIT 81.48.49.159:4597 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4597 [ASSURED] 1 tcp (6) 18 TIME_WAIT 81.48.49.159:4598 216.127.84.32:80 216.127.84.32:80 81.48.49.159:4598 [ASSURED] 1 alors je me demande s'il n'y a pas quelqu'un qui envoie des trucs un peu bizzare au gens qui vont sur le site IXUS?

par **dbomber** » 24 Juin 2003 09:10

Pourquoi tu dis ça Gesp. Il me semble que snort détecte un portscan lorsqu'on surf sur ixus, car un nombre important de connection est effectué sur ixus (à chaque envoie de post ou à chaque rafraichissement). C'est ce que tu voulais dire? A voir avec Bruno..mais si mes souvenirs sont bons, ceci est normal....

par **mordenkainen** » 24 Juin 2003 09:26

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-24 08:52, Gesp a écrit: Je ne sais pas si c'est le cas mais ce n'est pas parce que l'adresse de Microsoft qui est indiquée dans le log que c'est Bill qui veut forcément hacker tes PC</BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Bah heureusement <IMG SRC="images/smiles/icon_lol.gif"> , quoique qu'avec le coup de l'Upnp c'est déjà un poil limite de leur part à mes yeux je trouve. Enfin bon...je sais toujours pas à quoi ca correspond et si le fait d'avoir rajouter l'IP dans Ipban m'est d'un grand secours (si il y a 'danger' ...).

par **tomtom** » 24 Juin 2003 10:39

J'ai l'impression que ca ressemble à des logs MSN... tu l'utiliss avec proxy par hasard ?? T.

par **Gesp** » 24 Juin 2003 11:11

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE>J'ai l'impression que ca ressemble à des logs MSN... tu l'utiliss avec proxy par hasard ?? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Si c'est pour moi, je n'avais que IE d'ouvert vers le RED et je n'utilise pas MSN.

par **tomtom** » 24 Juin 2003 11:25

Non Gesp, je parlais de ça <IMG SRC="images/smiles/icon_smile.gif"> <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> IP info: 207.46.134.222:80 -> XX.XX.XX.XX:1825 </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> T.

par **mordenkainen** » 24 Juin 2003 12:15

Je n'ai pas MSN (ou tout autres outils du style...), je n'avais pas lancé Outlook également....(dans les dernières versions d'Outlook il y a une apparenté MSN). Je n'utilise pas la fonction Proxy.....

par **mordenkainen** » 24 Juin 2003 12:19

Pour en revenir au post de Gesp, forger des paquets IP à la volée c'est quand même pas l'outil qui court les rues. Et si le gars maitrise le spoofing à ce point, c'est quoi l'interet de venir chez moi ? D'autant que la $%#&! des ports est bizarre: du 80 chez microsoft pour débarquer sur 1000 et des poussières chez moi.....

par **Gesp** » 24 Juin 2003 13:00

Si tu envoies des paquets spoofés et des paquets innocents avec ta vraie adresse IP en retour, je crois que tu peux déterminer le volume de trafic que la cible reçoit en examinant le numéro de séquence des trames. Suivant les systèmes identifiés par un nmap, certains comportent des vulnérabilités en rapport avec le numéro de séquence des trames. Tout cela c'est si j'ai à peu près bien compris ce que j'ai lu sur les honey-pots et autres joyeuseutés.

par **mordenkainen** » 24 Juin 2003 13:52

Donc en fait il s'agirait de paquets spoofés pour déterminer si j'ai une desserte conséquente sur l'internet ? Donc si je continue ton raisonnement, c'est un gentil pirate qui scrute pour voir si mon débit vaut le coup pour faire un dump et y héberger je ne sais quel $%#&!. Ca me parait un peu gros.....non ? <IMG SRC="images/smiles/icon_confused.gif">

par **Gesp** » 24 Juin 2003 16:25

Je ne sais pas du tout, c'est une possibilité éventuelle de l'ordre du techniquement possible. Je ne pense pas que ce soit le plus probable. Ma connaissance du sujet est limitée et je ne pratique pas ce genre de sport. Mais s'il existe des outils tout prêt pour le faire, quelqu'un avec des connaissances assez basiques peut utiliser ces outils sans être un expert.

par **mordenkainen** » 24 Juin 2003 16:58

Mouais....Enfin bon, est ce que ma démarche de dénigrer les IPs Microsoft via le script Ipban est valable ?

par **Gesp** » 24 Juin 2003 17:24

C'est peut-être pas terrible pour windows-update <IMG SRC="images/smiles/icon_biggrin.gif"> Si tu fais un ping de l'adresse bannie, tu as une réponse?

par **mordenkainen** » 24 Juin 2003 19:31

Négatif...Pas de réponses de la part de l'IP..... De toutes manières je vais surveiller ça de prêt....Histoire de voir si il y a récurence du truc dans les logs malgré le ban....

Log Snort assez louche.....

Qui est en ligne ?