NDV wrote:
cmd.exe ce n'est pas le ver nimda? ok, �a fait du traffic sur tes serveurs, mais il ne touche que le ""tr�s s�curis�"" serveur web de MS.Bonsoir de nouveau,Question un peu OT mais bon, je me rattrape � la fin. Un logiciel tr�s commercial d�crivant les "Web Tendances" sur mon p�rim�tre me rapporte une quantit� halucinate de gugus essayant d'utiliser cmd.exe sur mes serveurs web. La topologie de notre extranet est un gros routeur avec trois interfaces ethernet. La premi�re vers un ISP, la seconde vers un autre ISP et la troisi�me vers notre pare-feux. Le cluster web est sur la DMZ de ce pare-feux. L'id�e est de placer sur un hub entre notre routeur � trois interfaces ethernet et le pare-feux une machine Linux (Aaah! la voil�) afin d'avoir plus facile � sniffer les 4 m�gabits de bande passante. Avec snort ou ngrep, je peux facilement fouiller les paquets � la recherche des strings "win32" ou "cmd.exe et lancer un script rsh sur le routeur (3 eth) en modifiant la table de routage pour bloquer le gugus. Mes questions: 1. Est-ce une bonne id�e de killer la route du gugus disons 30 minutes avec la technique "rsh"? Pensez-vous que cel� va le calmer? 2. Dimensionnement: un Pentium 200Mmx, DH 1.2 Gb avec 64 Mo RAM suffira vous pensez? 3. Toujours � propos du dimensionnement. J'ai une seconde machine identique, je pourrais les faire travailler ensemble pour partager le travail de sniff? J'oubliais de vous dire, on va passer de 4Mbits � 6 et m�me surement 8 d�but de l'ann�e prochaine. Voil�, ouf! :-) Nicolas
Il vient de personnes qui tournent cette m*rde parfois sans le savoir et surtout qui n'ont pas appliqu� les patchs correctifs, ce n'est pas un type qui essaie de t'avoir.
Il y a un truc que je n'ai pas bien pig�: il y a 2 interfaces sur le net sans protection?
Encore un truc, je n'utiliserais pas rsh, mais ssh, tu peux r�aliser les m�mes choses, mais de mani�re s�curis�e.
@+ et bonne chasse ;-)
--
Thomas
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[email protected]
IRC: efnet.unixtech.be:6667 - #unixtech
