SCAN Squid Proxy attempt

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Messagepar RON » 13 Août 2003 19:54

Bonsoir, <BR>En moins d'une demi heure de connexion, je me retrouve avec près de 8000 alertes snort : <BR> <BR>Date: 08/13 19:42:13 Nom: SCAN Squid Proxy attempt <BR>Priorité: 2 Type: Attempted Information Leak <BR>Informations sur l'adresse IP: 69.28.206.107:3525 -> 81.53.82.178:3128 <BR>Références: aucune entrée trouvée SID: 618 <BR> <BR>Soit sur le port 1080 ou soit sur le 3128. <BR> <BR>Quelqu'un aurait il une idée de ce qui se passe ???? <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
RON
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 23 Jan 2003 01:00
Localisation: Pauvre Breton à Paris
Haut

Messagepar micjack » 13 Août 2003 21:09

Ce qui me semble currieux, c'est que les ports 1080 et 3128 correspondent exactement des ports standards de serveurs proxy, dont l'un est un proxy socks et l'autre du type Squid 3128 au lieu du port 800 pour IPcop. <BR> <BR>Il est tout a fait possible que ces ports ce soient ouverts dynamiquement lors du surf, plus nombreux si y'a du P2P. <BR> <BR>Je penses que c'est un probleme de config, je ne connais pas le fonctionnement de Snort, mais il se peut qu'il les interprete comme attaqués, etant donné qu'ils sont destinés a des serveurs proxy. <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois
Haut

Messagepar tomtom » 13 Août 2003 21:26

Moi je penche bien pour une personne qui cherche un proxy anonyme...... <BR>C'est toujours la même IP qui fait le scan ?? <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar RON » 13 Août 2003 21:48

Je suis resté connecté une heure environ => 17500 alertes snort <BR>Cela ne vient pas d'une seule adresse, en fait sur une seule page je vois une dizaine d'adresses différentes .... La recherche Whois ne donne rien.... <BR> <BR>Je me suis déconnecté/reconnecté et depuis plus aucune alerte et pourtant j'ai récupérer quelques mp3 avec kazaa... <BR> <BR>Je ne comprend pas <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
RON
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 23 Jan 2003 01:00
Localisation: Pauvre Breton à Paris
Haut

Messagepar pior » 15 Août 2003 11:30

Je suis dans le même cas que toi. <BR>Je n'en ai pas eu 17000 mais il y en as pls page quand même. <BR> <BR>Et je precise que je ne fait pas de p2p. <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_eek.gif"> <IMG SRC="images/smiles/icon_frown.gif">
Avatar de l’utilisateur
pior
Premier-Maître
Premier-Maître
 
Messages: 70
Inscrit le: 07 Août 2003 00:00
Localisation: Paris
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz