Scan depuis Ixus et pb SNORT

par **MisterT** » 01 Nov 2003 11:26

Hello, J'ai trouvé une discussion au sujet de ce problème : <A HREF="http://forums.ixus.net/viewtopic.php?t=4818" TARGET="_blank">(forum Ixus)</A> datant de cet été. En résumé, lorsqu'on poste sur Ixus, des contraintes techniques font que de nombreux channels sont ouverts pendant suffisamment longtemps pour inquiéter SNORT et générer de "fausses" (?) alertes. J'ai encore pu le vérifier aujourd'hui : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Date: 11/01 09:32:20 Name: (spp_portscan2) Portscan detected from 195.140.140.28: 1 targets 21 ports in 2 seconds Priority: n/a Type: n/a IP info: 195.140.140.28:80 -> 217.128.128.76:4426 References: none found SID: n/a </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Est-ce que c'est modifiable au niveau du code de phpBB comme suggéré dans la discussion précédente ? Est-ce qu'il y aurait quelque chose à modifier dans la config de nos SNORT ? Merci,

par **Fesch** » 01 Nov 2003 11:29

Jette un petit coup d'oeil par là : <a href="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=4818&forum=9&start=0" target="_blank">http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=4818&forum=9&start=0</a>

par **MisterT** » 01 Nov 2003 11:34

J'avais bien trouvé cette discussion: c'est le lien que je mentionne au début de mon message... <IMG SRC="images/smiles/icon_rolleyes.gif"> Mais les questions restent ouvertes.... Y a-t-il eu d'autres discussions sur le sujet ?

par **Fesch** » 01 Nov 2003 11:43

je crois une ou deux, avec à chaque fois le même lien ... mais c'est quand-même clair ou non?

par **MisterT** » 01 Nov 2003 11:49

Je ne dois pas être bien réveillé, mais voici la conclusion de la discussion en question (par l'excellent Tomtom) : <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-27 14:32, tomtom a écrit: En fait, je suppose que cela est lie au fonctionnement même de phpBB, chaque module requiert l'ouverture d'une session http deifferents, donc un port supplementaire au niveau serveur. (...) Sinon, il y a aussi pas mal de connexions etablies par les petits logos icq en bas des posts, avec les serveurs icq..... Voila la raison de ces scans.. Je suppose qu'il est possible de configurer snort pour se rendre compte que les connexions sont liées à la meêm session http, amsi je ne connais pas assez.... T. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Donc : - Tomtom mentionne un problème lié au fonctionnement même de phpBB... D'où ma question : est-ce qu'une modif est à l'étude ? - Tomtom suggère de changer la configuration de SNORT, mais il ne sait pas trop comment... Moi non plus, hélas... <IMG SRC="images/smiles/icon_bawling.gif"> Quelqu'un a-t-il une réponse ?

par **Fesch** » 01 Nov 2003 23:47

En fait j'ai eut le même problème que toi (et je l'ai d'ailleur toujours ....) d'abord avec le site que voici <a href="http://www.heise.de/newsticker" target="_blank">http://www.heise.de/newsticker</a> ... puis avec IXUS. Mais en fait c'est pas un vrai problème... Bien que SNORT détecte qch, il ne s'agit pas d'une attaque! C'est plutôt une règle qui doit être mal formé ou bien une question de sensibilité de SNORT. J'attend la prochaine release pour voir si c'est fixé, mais jusque là, cela ne m'embête pas vraiment <IMG SRC="images/smiles/icon_smile.gif"> Si tu veut que tous les port-scan ne soit plus afficher, il suffit de mettre en commentaire la règle correspondante (/etc/truc-machin-chsoe-je-ne-sais-plus-quel-fichier-m****-alors <IMG SRC="images/smiles/icon_cussing.gif"> ) Vas-voir sur le site d'Antolien ...

Scan depuis Ixus et pb SNORT

Qui est en ligne ?