Au Secour.......

[Sunil]

TFTP GET passwd <BR> <BR>Priorité: 1 <BR> <BR>Type: Successful Administrator Privilege Gain <BR>------------------------------------------------------ <BR> <BR>Au viol... c'est quoi ca... quesqu'il me fait mon IpCop, j'ai aucun serveur TFTP moi... A l'aide !!! dois je couper le fil du modem ??? <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci de me secourir !!!

[nemesis]

bha ton ipcop t'anonce k'il y en a un ki est entré par la fenêtre chez toi... <BR> <BR>alors deux solutions ou tu es tres courageux/inconscient et tu laisse tel kel <BR>t'es tres courageux/fou tu te paluche une analyse de tout ton système pour essayer de voir ce k'l a pu faire le mechant... <BR>t'es feignant mais pas laxiste tu reinstalles un ipcop propre et op on est repartit pour un tour... <BR> <BR>voilàààà <BR>@pluche <BR>nico <BR> <BR>ps

[Sunil]

merci bien... mais j'ai pas de tftp... et mon password admin fait 12 caractères... <BR> <BR>Alors même si je reinstalle il fera de même demain le gentil monsieur. <BR> <BR>Ou alors c'est IpCop qui detecte n'importe quoi ! <BR> <BR>Affaire à suivre...

[nemesis]

vas voir là.. <BR><!-- BBCode auto-link start --><a href="http://www.snort.org/snort-db/sid.html?sid=1443" target="_blank">http://www.snort.org/snort-db/sid.html?sid=1443</a><!-- BBCode auto-link end --> <BR> <BR>ça te donnera peut etre une petite idée..

[nemesis]

bha en general snort dit pas nimporte koi... <BR> <BR>t'es sur ke t'as pas une saleté ki trainerai sur ton lan.... <BR>du genre sur un post windows ou autre (client ou serveur ftp) <BR>parce ke le truc c'est que tt ce ki est initialisé depuis le lan passe et ce ds les deux sens dc si le ftp a été initialisé depuis l'int par toi ou par un cheval de troie bha tu l'as dans l'os.. <BR> <BR>

[Sunil]

ce que je pige pas c'est que mon reseaux est composé d'un poste IpCop routeur Firewall et serveur dhcp, d'un serveur de fichier et d'impression sous debian, et de deux poste sous XP. <BR>Aucun de ces postes ne fait pas tourner de Tftp ni de serveur ftp. Les postes XP sont régulièrement testé contre tout les virus et trojan et sont tout les deux équipés d'antivirus mis a jour quotidiennement. <BR> <BR>Le IpCop à été installé il y a 4 jours et le serveur debian aujourd'hui <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Et mon password est de 12 caractères et n'est pas un mot facile a trouver... <BR> <BR>Alors malgré tout ca en une journée un mec serait capable de ce connecter au travers d'un soft que je n'ai pas... <BR> <BR>Là vraiment je ne comprend plus rien !!! <BR> <BR>Affaire à suivre...

[Gesp]

This could mean one of two things. <BR> <BR>First, it could mean that someone was tftp'ing into your machine and <!-- BBCode Start --><B>tried</B><!-- BBCode End --> to get a file with 'passwd' in it's name. <BR> <BR>Secondly, it could mean someone was tftp'ing from your system and tried to get a file with 'passwd' in it's name. If this file is really _the_ passwd file, then your machine was possibly compromised and the attacker is attempting to upload a new passwd file or tftp'd your passwd file offsite for analysis and/or cracking. <BR> <BR>cherche les fichiers passwd sur le PC IPCOP et tu trouveras: <BR>/usr/bin/passwd c'est l'exécutable pour changer le mot de passe <BR>/etc/passwd c'est pas la liste des mots de passe <BR>/etc/pam.d/passwd c'est pas non plus la liste des mots de passe <BR>donc tant que tu n'as pas installé de serveur tftp sur ta machine IPCOP, elle a reçu une requète mais c'est pas pour cela qu'elle y a répondu et en plus il n'y a de mots de passe dans ce fichier. <BR>Enfin c'est ce que j'ai compris.

[Sunil]

Bon et bien il va s'en dire que je suis assez decu d'IpCop sur ce coup là. <BR> <BR>Un message alarmiste incompréhensible puisque le logiciel incriminé n'existe pas. Une documentation tout aussi alarmiste dans le cas d'un attaque de niveau 1. Et le tout sur un IpCop reinstallé la veille de la fameuse "attaque". <BR> <BR>Je me demande si il s'agit vraiment d'une distribution sérieuse... D'autant plus que tout les systeme de test d'attaque me réponde que ma sécurité est parfaite. (IpCop est là pour ca) ... alors je me demande vraiment ce que veux dire ce message d'alerte. <BR> <BR>Je pense qu'il s'agit d'une attaque qu'IpCop signale comme GRAVE au cas ou il y aurait un TFTP d'installé. Si c'est ca... et bien OK je continue mais il faudrait être plus explicite dans les messages, maintenant si c'est un délire c'est grave. Sur une distribution qui ce dit être utilisé par de grande structure. <BR> <BR>Mais je pense que je n'ai rien compris et que je suis un idiot... et que les grandes structures qui l'utilise elles, elles emplois des gens qui sont assez intélligent pour comprendre les messages d'alerte. <BR> <BR>Voilà c'est un coup de $%#&! en l'air juste pour me plaindre comme toujours <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Affaire à suivre... si je suis capable d'y donner une suite ---> <BR> <BR>Sunil

[SNORK]

Honètement, je pense que rien n'est parfais. Je pense même qu'il se passe parfois des choses plus grave que ce que tu as trouvé. <BR> <BR>A ce propos, ton problème est surtout un problème SNORT. Il me semble avoir compris que la version 1.3 permettra une mise à jour plus facile de SNORT. <BR> <BR>Dans l'immédiat, le problème est simple, il faudrait savoir ou son les vulnérabilités de IPCOP. Hélas si on le savait ... Tout le monde le saurait et cela reviendrai à se promener $%#&! nu sur une plage gay. <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>Pour l'instant je préfère en rire mais il reste des progrès à faire sinon ... <IMG SRC="images/smiles/icon_cry.gif">

[carbone]

le probleme ne vient pas du sérieux d ipcop! c est une tentative d intrusion détectée par SNORT, le message n est pas des mieux choisi certe mais ca, ce n est pas une erreur des développeur ipcop. SNORT te previent qu il y a eu une tentative, il ne te dit pas si elle a réussi ou pas. <BR>Moi j ai sans cesses cette tentative: MS-SQL Worm propagation attempt mais je n ai pas de serveur sql, cependant SNORT l enregistre quand même. <BR>Il est normal que SNORT te le dise mais lui ne peut pas savoir si ton réseau est sensible à cette attaque ou pas. Son but etst de détecter les TENTATIVES pas de savoir si elles ont réussi. <BR>

[Sunil]

tout à fait d'accord Carbone... Seulement ce que tu signales comme attaque (mysql) est une attaque de niveau 2... Donc attaque bloqué. <BR> <BR>Alors qu'il est expliqué qu'une attaque de niveau 1 (celle que j'ai eu) revient a dire qu'elle n'a pas été bloqué. C'est ca qui me gène le plus. <BR> <BR>Parceque l'on me signale une attaque (non bloqué) sur un module que je ne possède pas. Comment je peux réparer une panne que je n'ai pas. <BR> <BR>C'est le seul ennuye. <BR> <BR>Il faudra juste qu'il soit plus clair au niveau des niveaux de dangeurosité des attaque. <BR>Tu trouvera même ici sur ce forum des postes qui te disent (d'ailleur même ici plus haut) que dans le cas d'une attaque niveau 1 il faut reinstaller IpCop. Alors que je ne pense pas que ce soit besoin dans mon cas. <BR> <BR>Voili voilà... <BR> <BR>Affaire à suivre --->

[carbone]

je pense que les niveaux n ont rien a voir avec le fait qu elle soit bloquée ou non, ca indique le niveau de priorité à accorder. Si je regarde dans la doc, je vois: <BR>This is the severity of the incident, graded as 1 ("bad"), 2 <BR>("not too bad"), & 3 ("possibly bad"). <BR> <BR>De plus ce niveau comme le reste est géré par SNORT et le même problème ce passera je pense sur toutes autre distrib utilisant SNORT et donc, je trouvais ton jugement un peu sévère et rapide. <BR>

[nemesis]

aller je vais faire mon gros mechant..... <BR> <BR>primo le niveau de sévérité de l'éattaque est bien issu de snort... <BR>lui même met ces indice de severité d'apres un fichier de règles et selon une programation voulue par ses developpeur donc si l'attaque est de type machin et que machin et considéré comme niveau 1 dans le fichier de règles paf il te cole un niveau un ke l'intrusion ait étée succesfull ou pas. <BR> <BR>bon qud a ma reponse qui te dis de reinstaller si tu connais pas ton system sur le bout des doigts ou si t'as pas un backup super recent avec lequel tu peux comparer les fichier de ton ipcop ça t'évite de te demander si t'as une backdore ou pas.. <BR> <BR>ensuite si tu connais bien tes fichiers tu peux verifier les fichiers critiques et verifier tes regles de firewall histoire d e voir si tu as des trucs exotiques qui sont apparus.... <BR> <BR>la deuxieme méthode etant la plus pro mais aussi la plus chronophage. <BR> <BR>de plus tu peux regarder si tu a la même ip dans les logs de snort et dans les logs du firewall car si il y a une ip qui apparait ds le log snort ki est indiquée comme bloquée dans les logs du firewall t'es trankille a 99% <BR>voilà <BR>@pluche <BR>ps : il y a des distrib qui font firewall et qui n'indique jamais rien niveau tentative d'intrusion uniquement parce k'elle n'incluent pas d'ids <BR>pps: si tu veux tester toi même ton firewall tu peux installer nessus et lui demander d'attaquer ton réseau tu veras bien ce k'il te dira... <BR>

[SNORK]

tout a fait d'accord... j'ai une vingtaine d'attaque "Priorité 1", genre 1256 chaque jour. <BR> <BR>Objectivement, je regarde... c'est codered...Réaction : ou j'ai pas de MS et sa passe pas ou j'ai du MS et c'est patché est sa passe pas. <BR> <BR>SNORT me prévient clairement que faute de connaitre l'incidence possible sur mon réseau, cela pourrait etre grave. <BR> <BR>Il n'est nullement question de réinstaller !!!