Journaux de detections intrusions !!!!

[calamarz]

<BR>Voila sur mon journal de detection d'intrusion j'ai ceci et sur mes 4 IPCOP: <BR> <BR>Date: 08/22 06:51:40 Nom: ICMP PING CyberKit 2.2 Windows <BR>Priorité: 3 Type: Misc activity <BR>Informations sur l'adresse IP: 62.215.239.158:n/a -> 62.212.97.52:n/a <BR>Références: aucune entrée trouvée SID: 483 <BR> <BR>avez vous des attaques CyberKit 2.2 Windows ??? et c quoi ???

[tomtom]

Bah, un bête scanner avec des pings et autres.... <BR> <BR>T'embete pas, IPCop bloque ça sans soucis ! <BR> <BR> <BR>T.

[nemesis]

j'ai la même chose depuis quelques jours (2/3) je sais pas si c'est du à sobig ou a des blaireaux qui s'amusent avec des toolkit. <BR> <BR>en tt cas il y a une ou deux ip fixes de chez free ds mes logs et si elles reviennent je pense que je vais essayer d'avoir un peu plus d'info...

[antolien]

Oui, j'ai pleins d'attaques de ce type, mais c'est pas bloqué par défaut les pings sur ipcop.

[nemesis]

moi je me suis tapé la modif sur mon 1.2 tot ce matin maintenant je repond plus au ping....

[calamarz]

Sur la 1.2 tu dois faire la modif ou pour ne plus repondre aux pings ??? <IMG SRC="images/smiles/icon_confused.gif">

[TROM]

Ben regarde le site d'antolien il est hyper bien foutus ! <BR> <BR>TROM <IMG SRC="images/smiles/icon_bise.gif">

[nemesis]

tu dois ajouter une règles ipchains <BR> <BR>ipchains -I input -i $RED_DEV --icmp-type ping -j DENY <BR> <BR>cette règles entrée en ligne de commande empêche le ping depuis le red-> l'ipcop <BR>par contre je ne sais pas ce qui se passe au niveau log du journal d'intrusion j'ai fais cette modif ce matin vers 1h00 et là depuis le boulot j'ai testé et ça fonctionne (enfin je peux plus pinger mon ipcop) je verais ce soir si mes logs de snort on changés ou pas! <BR> <BR>si tu veux rendre persistante cette règle il faut la mettre ds rc.firewall.up à la fin des règles pour la chaîne input. <BR> <BR>@+

[robotmixer]

Mes logs de snort sont bourrés de ce message ! <BR>Mais bon, un ping c'est pas tres méchant

[coegon]

chuis en 1.3 et je bloque les pi,ngs et dans mon journal de detection d intrusion j ai ce type d attaque <BR> <BR>mais bon aucune entree trouve <IMG SRC="images/smiles/icon_wink.gif">

[nemesis]

ah bha pareil... logs saturés de cette $%#&! mais bon ping bloqué sur le red alors... <BR> <BR> <BR>par contre j'ai récupéré quelques adresses fixes de chez free ds mes logs je pense que je vais faire quemques chose pour que au moins les proprios de ces adresses soient avertis de ce pb...

[pior]

Tiens nous au courant du resultat

[chose]

Moi, je supssonne que se soit welchia qui fait ce type de log. Ou un virus ...

[tfayol]

comme j'avais aussi les memes infos dans mon log (cyberkit...) j'ai fait la modif d'antolien pour ne pas répondre aux ping, ça marche mais j'ai toujours les entrée cyberkit... dans mon log ? <BR>c'est normal?

[dbomber]

A mon avis, c'est normal, puisque snort est différent du firewall. En fait tu configure ton firewall pour ne pas répondre au ping, mais snort voie quand meme le ping et fais une alerte.