portscan 195.140.140.28 machine ixus?

[nicobbgg]

Snort detecte un tas de scan de port provenant de la machine 195.140.140.28, je fais de meme, je vois tout un tas de port ouvert du genre smtp et autre. Je telnet le smtp et je vois que c un serveur de chez ixus. Qq'un pourrait il m'expliquer pourquoi cette machine me scan?

[moktar]

Sur quoi ( a part snort) tu bases-tu pour dire que cette machine te scanne ? <BR> <BR>La config snort par défaut est GENERIQUE. <BR> <BR>un fine tuning ne serait pas du luxe ! <BR> <BR>Il n'est pas rare que certains server web effectue un reverse quelque choses sur ces clients. <BR> <BR>Ce n'est pour autant une attaque, un scan ou autre ! <BR>

[kerozene]

et une petite recherche avant de poster ??? ca évitera peut être que les super scanner d'Ixus essaye de te trouver pour qu'on vienne te botter les fesses <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>un peu de lecture, ca calmera peut être ta paranoïa <IMG SRC="images/smiles/icon_smile.gif"> !!! <BR> <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=4818" target="_blank">http://forums.ixus.net/viewtopic.php?t=4818</a><!-- BBCode auto-link end --> <BR> <BR>++ <BR> <BR>Kerozene

[nicobbgg]

ok euhhh, je connais pas du tout le fonctionnement de snort. G deja effectué des modifs ds mon firewall pour ne plus etre pingé et ne plus recevoir certaines alertes sur les logs de snort (voir le site antolien.nerim.net) <BR>Maintenant, mis a part les alertes du genre Worm SQL, j'ai uniquement des scans de ports provenant d'autres machines et bcp venant de <!-- BBCode auto-link start --><a href="http://www.ixus.net." target="_blank">www.ixus.net.</a><!-- BBCode auto-link end --> D'ailleurs voila le log auquel je demande une explication. <BR> <BR>Date:: 12/23 14:11:18 Nom: (spp_portscan2) Portscan detected from 195.140.140.28: 1 targets 21 ports in 1 seconds <BR>Priorité: n/a Type:: n/a <BR>Informations sur l'adresse IP: 195.140.140.28:80 -> 82.66.134.139:4486 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR>Merci de vos lumieres les mans

[nicobbgg]

Bon ok, merci pour la lecture. Donc d'apres tous ces messieurs rien de grave, juste une histoire de phpBB (en passant par la c un module mais je sais pas vraiment d'ou il vient) . maintenant qq'un pourrait il m'expliquer ce qu'il faut ajouter dans la config de snort pour virer ces logs? merci

[moktar]

Si tu sais lire essaie ca <!-- BBCode auto-link start --><a href="http://www.snort.org/docs/snort_manual.pdf" target="_blank">http://www.snort.org/docs/snort_manual.pdf</a><!-- BBCode auto-link end --> <BR> <BR>Sinon essaie de modifier ca dans /etc/snort/snort.conf ( ou ailleurs ) <BR># Portscan: detect a variety of portscans <BR># --------------------------------------- <BR># portscan preprocessor by Patrick Mullen <p_mullen@linuxrc.net> <BR># This preprocessor detects UDP packets or TCP SYN packets going to <BR># four different ports in less than three seconds. "Stealth" TCP <BR># packets are always detected, regardless of these settings. <BR># Portscan uses Generator ID 100 and uses the following SIDS for that GID: <BR># SID Event description <BR># ----- ------------------- <BR># 1 Portscan detect <BR># 2 Inter-scan info <BR># 3 Portscan End <BR> <BR># preprocessor portscan: $HOME_NET 4 3 portscan.log <------------------- <BR> <BR># Use portscan-ignorehosts to ignore TCP SYN and UDP "scans" from <BR># specific networks or hosts to reduce false alerts. It is typical <BR># to see many false alerts from DNS servers so you may want to <BR># add your DNS servers here. You can all multiple hosts/networks <BR># in a whitespace-delimited list. <BR># <BR># preprocessor portscan-ignorehosts: 0.0.0.0 <-------------------- <BR> <BR> <BR>PS: le '#' signifie mettre en remarque ( desactiver ) <BR>PSbis: 4 3 signifie 4 ports en 3 secondes, alors essaie 10 port en 5 secondes par exemple ... <BR>

[nicobbgg]

Je crois que j'vais prendre une bonne resolution et lire le man de snort. on se revoit pour ma prochaine question lourde. tchuss