Eclaircissements Logs Snort

[mjolnir]

Bonjour, <BR> <BR>Suite à la mise à jour des règles Snort sur mon ipcop, j'ai lancé un scan à partir d'un site pour voir ce que cela donne. Hors je reste perplexe devant le log suivant : <BR> <BR>Date: 09/20 00:45:14 <BR>Name: TFTP GET passwd <BR>Priority: 1 <BR>Type: Successful Administrator Privilege Gain <BR>IP Info: 216.201.108.25:48772 -> xxx.xxx.xxx.xxx:69 <BR>Refs: <BR> <BR>Je suis allé voir la doc sur snort.org, où il est expliqué que c'est lié à tftpd, mais il y a un truc que je ne comprend pas : Est ce que l'attaque fonctionne sur mon ipcop ou pas ? Y'a-t'il un serveur tftpd qui tourne sur IPcop ou pas (je ne pense pas, mais bon...) ? <BR>Si quelqu'un peut éclairer le newbie que je suis, j'en serais très heureux. <BR> <BR>@+

[arapaho]

heu, normalement il résulte de ton test qu'il est possible d'atteindre un max de privilège par rapport a tfp. <BR> <BR>Tftp (allez hop un petit cours <IMG SRC="images/smiles/icon_smile.gif">) est un protocole de transfert de fichier reposant sur le protocole UDP. Il est utilisé pour le transfert de fichiers dans un LAN, et en particulier pour les client léger. Mais tftp est très peu fiable, face à ftp, qui lui repose sur le protocole TCP. <BR> <BR>Je te conseille donc de changer de deamon ftp. Migrer vers nu serveur de l'acabit de ProFTPD ou consort serait une bonne idée <IMG SRC="images/smiles/icon_biggrin.gif">

[mjolnir]

Le pb est que je n'ai aucun serveur tftp ou ftp d'installé. Je n'utilise ipcop que comme passerelle, d'où mon étonnement .

[arapaho]

en fait je me suis mal exprimé <BR> <BR>Le report de Snort te dis qu'en fait il a reconnu une attaque "comme étant" une attaque via tftp c tout. <BR> <BR>Je pense pas qu'il y ait lieu de s'inquiéter mais fais quand meme un petit <BR> <BR>#netstat -lapute <BR> <BR>sur ta box et pose le résultat sur le forum. <BR>On verra si ca peut etre plus explicite... <IMG SRC="images/smiles/icon_smile.gif">

[mjolnir]

J'espère que ce sera lisible : <BR> <BR>Active Internet connections (servers and established) <BR>Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name <BR>tcp 0 20 bifrost:222 10.0.0.50:1056 ESTABLISHED root 134680 16999/sshd <BR>tcp 0 0 ALagny-101-1-2-6.a:3448 loga.hit-parade.co:http TIME_WAIT root 0 - <BR>tcp 0 0 ALagny-101-1-2-6.a:3429 a213-56-194-52.dep:http TIME_WAIT root 0 - <BR>tcp 0 0 ALagny-101-1-2-6.a:3427 a213-56-194-71.dep:http TIME_WAIT root 0 - <BR>tcp 0 0 bifrost:800 10.0.0.50:1045 TIME_WAIT root 0 - <BR>tcp 0 0 bifrost:800 10.0.0.50:1044 FIN_WAIT2 root 0 - <BR>tcp 0 0 *:domain *:* LISTEN root 134331 16853/dnrd <BR>tcp 0 0 bifrost:800 *:* LISTEN root 228 257/(squid) <BR>tcp 0 0 *:222 *:* LISTEN root 209 246/sshd <BR>tcp 0 0 *:81 *:* LISTEN root 194 236/httpd <BR>tcp 0 0 *:microsoft-ds *:* LISTEN root 193 236/httpd <BR>udp 0 0 *:1051 *:* nobody 134333 16853/dnrd <BR>udp 0 0 *:domain *:* root 134330 16853/dnrd <BR>udp 0 0 *:1026 *:* squid 224 257/(squid) <BR>udp 0 0 *:bootps *:* root 206 243/dhcpd <BR> <BR>Alors c'est grave docteur ? <IMG SRC="images/smiles/icon_biggrin.gif">

[arapaho]

non <BR>y a vraiment pas lieu de s inquiéter <IMG SRC="images/smiles/icon_wink.gif">

[mjolnir]

Cool, <BR> <BR>merci pour l'aide ! <IMG SRC="images/smiles/icon_smile.gif">