système de détection des intrusions ?????

par **Sebastien65** » 25 Juil 2003 00:46

Bonsoir, Alors je me pose quelque petite question depuis un petit moment quand j'analyse mes Logs sur IPCop 1.3 Voici un copier coller : Nombre total de règles d'intrusion activées pour Juillet 25: 11 Date: 07/25 00:25:44 Nom: (spp_portscan2) Portscan detected from 212.27.35.2: 1 targets 21 ports in 24 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: 212.27.35.2:80 -> 213.36.131.154:5523 Références: aucune entrée trouvée SID: n/a Date: 07/25 00:27:07 Nom: (spp_portscan2) Portscan detected from 212.27.35.2: 1 targets 21 ports in 46 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: 212.27.35.2:80 -> 213.36.131.154:5524 Références: aucune entrée trouvée SID: n/a Date: 07/25 00:28:12 Nom: SCAN SOCKS Proxy attempt Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 200.49.106.36:2064 -> 213.36.131.154:1080 Références: aucune entrée trouvée SID: 615 Date: 07/25 00:28:14 Nom: SCAN SOCKS Proxy attempt Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 200.49.106.36:2064 -> 213.36.131.154:1080 Références: aucune entrée trouvée SID: 615 Date: 07/25 00:28:17 Nom: SCAN SOCKS Proxy attempt Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 200.49.106.36:2064 -> 213.36.131.154:1080 Références: aucune entrée trouvée SID: 615 Voila j'ai sa comme intrusion alors C grave ??? Merci vraiment de m'éclairer !!! <IMG SRC="images/smiles/icon_boxe2.gif">

par **West** » 25 Juil 2003 12:50

Si je ne me trompe pas je crois qu'il s'agit juste de tentatives d'intrusions,scanne etC... à ton poste qui sont bloquées !! La gravité de l'attaque ou du scanne se lit ds la priorité, avec la priorité la plus importante (alerte grave) la 1 jusqu'a 4 .

par **Sebastien65** » 28 Juil 2003 18:56

Salut, Alors j'ai de plus en plus d'ataque sur mon PC IPCop... Date: 07/28 01:51:47 Nom: MS-SQL Worm propagation attempt Priorité: 2 Type: Misc Attack Informations sur l'adresse IP: 142.177.103.48:4339 -> 213.36.40.80:1434 Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=2003" target="_blank">http://www.snort.org/snort-db/sid.html?sid=2003</a> Date: 07/28 05:12:16 Nom: (spp_stream4) STEALTH ACTIVITY (SYN FIN scan) detection Priorité: n/a Type: n/a Informations sur l'adresse IP: 139.223.162.146:21 -> 213.36.8.179:21 Références: aucune entrée trouvée SID: n/a Date: 07/28 06:11:43 Nom: MS-SQL Worm propagation attempt Priorité: 2 Type: Misc Attack Informations sur l'adresse IP: 154.5.73.250:4443 -> 213.36.8.179:1434 Références: aucune entrée trouvée SID: 2003 Date: 07/28 08:11:58 Nom: ICMP superscan echo Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 80.141.230.145:n/a -> 213.36.8.179:n/a Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=474" target="_blank">http://www.snort.org/snort-db/sid.html?sid=474</a> Date: 07/28 09:02:24 Nom: ICMP PING NMAP Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 195.14.58.46:n/a -> 213.36.8.179:n/a Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=469" target="_blank">http://www.snort.org/snort-db/sid.html?sid=469</a> Date: 07/28 17:17:25 Nom: (spp_portscan2) Portscan detected from 194.6.144.36: 1 targets 21 ports in 19 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: 194.6.144.36:80 -> 213.36.8.179:1412 Références: aucune entrée trouvée SID: n/a Date: 07/28 17:19:57 Nom: (spp_portscan2) Portscan detected from 213.56.90.134: 1 targets 21 ports in 47 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: 213.56.90.134:80 -> 213.36.8.179:1461 Références: aucune entrée trouvée SID: n/a Alors est-ce que C grave ??? Merci <IMG SRC="images/smiles/icon_boxe2.gif"> <IMG SRC="images/smiles/icon_cussing.gif">

par **tomtom** » 28 Juil 2003 19:19

C'est très grave, tu dois de toute urgence formater et reinstaller tous les postes de ton réseau ! <IMG SRC="images/smiles/icon_biggrin.gif"> Non mais sans blague ! Dans la doc de snort, ainsi que sur le site internet, c'est expliqué comment lire les logs. C'est à toi de voir le niveauu d'alerte que tu juges acceptable. Alors si tu dois demander à chaque fois que tu vois des trucs dans les logs, ce n'est pas la peine d'utiliser SNORT. Un IDS, c'est fait pour de l'analyse, si tu te contentes de copier coller les logs pour qu'on te dise ce que tu dois faire, ca ne sert absolument à rien. Desolé pour la reponse un peu seche, mais vraiment il faut que tu fasse une demarche de recherche par toi-même, de plus là tu touches à la securité, tu ne peux pas faire confiance aveuglemment à ce que vont te dire les membres... Qu'aurais-tu fait si je n'avais mis que la première ligne de ma reponse ? T.

par **Sebastien65** » 28 Juil 2003 19:24

lol pour le formatage ... Bé oui comme tu dis sa touche a la sécurité !! Donc C T pour sa que je venais demander conseil ici de certaines alertes concernant les logs... Heuresement que j'ai pas collé les 250 alertes d'un coup alors... Mais bon j'aurrais aimé avoir un petit plus d'info que sur le site de SNORT...

par **tomtom** » 28 Juil 2003 19:42

Bon OK ... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 07/28 01:51:47 Nom: MS-SQL Worm propagation attempt Priorité: 2 Type: Misc Attack Informations sur l'adresse IP: 142.177.103.48:4339 -> 213.36.40.80:1434 Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=2003" target="_blank">http://www.snort.org/snort-db/sid.html?sid=2003</a> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Deja traité dans les forums.... Cela signifie jusqte que le fameux ver a tenté de trouver un serveur sqlserver sur ton systeme. Il n'y est pas arrivé bien entendu, car tu n'en n'as pas ! <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 07/28 05:12:16 Nom: (spp_stream4) STEALTH ACTIVITY (SYN FIN scan) detection Priorité: n/a Type: n/a Informations sur l'adresse IP: 139.223.162.146:21 -> 213.36.8.179:21 Références: aucune entrée trouvée SID: n/a </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Un petit malin qui joue avec NMAP ou juste un false positive. Le systeme a reçu des paquets tcp avec les bits SYN et FIN positionnés pour tenter de trouver furtivement des ports ouverts (sans declencher de logs firewall) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 07/28 08:11:58 Nom: ICMP superscan echo Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 80.141.230.145:n/a -> 213.36.8.179:n/a Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=474" target="_blank">http://www.snort.org/snort-db/sid.html?sid=474</a> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> encore un scan nul.. ou encore un false positive... suis le lien pour plus d'infos <IMG SRC="images/smiles/icon_razz.gif"> <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 07/28 09:02:24 Nom: ICMP PING NMAP Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 195.14.58.46:n/a -> 213.36.8.179:n/a Références: aucune entrée trouvée SID: <a href="http://www.snort.org/snort-db/sid.html?sid=469" target="_blank">http://www.snort.org/snort-db/sid.html?sid=469</a> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Un icmp ping de nmap (pour voir un peu à quoi ca correspond, je te conseille de jouer un peu avec nmap.. en plus il existe pour windows, donc tu n'auars même pas à lire le man !) <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 07/28 17:17:25 Nom: (spp_portscan2) Portscan detected from 194.6.144.36: 1 targets 21 ports in 19 seconds Priorité: n/a Type: n/a Informations sur l'adresse IP: 194.6.144.36:80 -> 213.36.8.179:1412 Références: aucune entrée trouvée SID: n/a </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Soit un scan de port classique, soit plus probablement encore un false positive, car preovenant visiblement d'un port web. Premier reflexe : query dns + whois sur l'ip pour voir si ce n'est pas simplement un site ou tu etais + voir les posts sur ixus sur les "scans" par free.fr et ixus.... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Alors est-ce que C grave ??? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pas très.. aucune alerte elevée. De plus je pesne qu'il y a beaucoup de false positives et de petits malins qui font mumuse sur les plages d'ip des providers haut-debit car ils ont decouvert nmap ou un gadget pour se connecter sur le port 445... Quelques recherches sur internet, un peu d'anglais, la lecture du man et de l'entrainement te permettront d'analyser facilement ces logs... Ne pas hésiter à jouer avec nmap, hping etc, pour voir la reaction de snort et comprendre le principe des scans... Lire les articles de linuxmag et miscmag pour avoir des details sur les attaques type utilisées par les scripy kiddies. Bref, lire lire lire toutes les docs que tu peux ! Utiliser aussi la recherche sur le forum Ixus, tu dois commencer à conniatre la chanson, il y a pas mal de posts traitant de l'analyse de logs..... T.

par **Sebastien65** » 28 Juil 2003 19:50

Merci Tomtom !! <IMG SRC="images/smiles/icon_up.gif"> Voila une belle explication comme je l'attendais ( SUPER ) Donc en fait oué C des amusements comme je me le pensé... En fait je ne tate de savoir si je garde le Firewall IPCop... J'espère que je n'aurrais pas d'intrusion si je remet SME en place... J'espère que le firewall est assez solide ... <IMG SRC="images/smiles/icon_confused.gif">

par **kerozene** » 28 Juil 2003 20:19

bon bah si tu veux par exemple la MSSQL Worm, c'est les restes de l'infestation de Saphire il y a quelque mois, un ver qui ne s'attaque qu'à SQL Server 2000 en faisant du remplissage des bases de données. Si tu n'as pas de SQL Server 2000, tu n'est pas concerné. Si tu en a un le ver a été bloqué par Snort. Mais comme y'a encore beaucoup de gens qui sont infestés et qui ne le savent pas (bande de blaireaux va <IMG SRC="images/smiles/icon_wink.gif"> !) il continue d'essayer de se propager en cherchant au hasard sur le net. Tout ce qui est portscan ne correspond comme il t'a été dit plus haut le plus souvent qu'à de simple scan de ports, enfin les ICMP ne sont la plupart du temps qu'un ping de ton système. Sinon, Tomtom a très largement raison... comme bien souvent <IMG SRC="images/smiles/icon_wink.gif"> Tu veux apprendre à analyser tes logs : apprend à trier le bon grain de l'ivraie : c'est certain que tu peux avoir jusqu'a 250 attaques/jour (heureux sont ceux qui n'ont que cela !!!) mais ce qu'il va falloir chercher ce n'est pas ce qui arrivent souvent mais plutôt ce qui est plus rare et qui te vise directement : si une adresse IP d'attaquant revient souvent par exemple, là il faut t'inquiéter et prendre des mesures.

par **kerozene** » 28 Juil 2003 20:23

bah voilà... je commence d'écrire un post avant d'aller bouffer, ma chère et tendre m'appelle pour qu'on mange et je laisse en plan... qu'en je reviens je termine mon poste que j'envoie et je me suis fait griller ! <IMG SRC="images/smiles/icon_biggrin.gif"> Bon, bah de toute facoon les explications de Tomtom étaient beaucoup plus claire et directes que les miennes... <IMG SRC="images/smiles/icon_wink.gif">

système de détection des intrusions ?????

Qui est en ligne ?