On Thu, 13 Feb 2003 20:46:17 +0100 "NDV" <[EMAIL PROTECTED]> wrote:
> Bonsoir de nouveau, > > Question un peu OT mais bon, je me rattrape � la fin. > > Un logiciel tr�s commercial d�crivant les "Web Tendances" sur mon p�rim�tre > me rapporte une quantit� halucinate de gugus essayant d'utiliser cmd.exe > sur mes serveurs web. > > La topologie de notre extranet est un gros routeur avec trois interfaces > ethernet. La premi�re vers un ISP, la seconde vers un autre ISP et la troisi�me > vers notre pare-feux. Le cluster web est sur la DMZ de ce pare-feux. > > L'id�e est de placer sur un hub entre notre routeur � trois interfaces ethernet > et le pare-feux une machine Linux (Aaah! la voil�) afin d'avoir plus facile > � sniffer les 4 m�gabits de bande passante. > > Avec snort ou ngrep, je peux facilement fouiller les paquets � la recherche > des strings "win32" ou "cmd.exe et lancer un script rsh sur le routeur (3 > eth) en modifiant la table de routage pour bloquer le gugus. > > Mes questions: > > 1. Est-ce une bonne id�e de killer la route du gugus disons 30 minutes avec > la technique "rsh"? Pensez-vous que cel� va le calmer? > 2. Dimensionnement: un Pentium 200Mmx, DH 1.2 Gb avec 64 Mo RAM suffira vous > pensez? > 3. Toujours � propos du dimensionnement. J'ai une seconde machine identique, > je pourrais les faire travailler ensemble pour partager le travail de sniff? > J'oubliais de vous dire, on va passer de 4Mbits � 6 et m�me surement 8 d�but > de l'ann�e prochaine. > > Voil�, ouf! :-) > > Nicolas > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[email protected] > IRC: efnet.unixtech.be:6667 - #unixtech Je ne fais que repeter : Les machines qui t attaquent ne font certainement pas ca intentionnellement . ( ou du moins ca ne vient pas de l utilisateur ) Ce n est pas une attaque personnelle, j ai un apache qui tourne ici sur une connection cablee . Je me prend entre 10-100 attaques/jour . Installer des regles rejetant les machines incrimees me semble inutile . Si tu veux vraiment savoir combien tu as d attaques/jour : installes cygwin sur le nt/2k et ajoute un script dans cron pour faire un grep sur les logs de ton serveur web . ( je suppose que les logs de IIS sont en format txt ) Tu rediriges les fichiers crees vers un repertoire du serveur web . Et Hop cest lisible via un browser :) Tchuss . Pierre . -- -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GCS d- s: a- C++ UL++ P+ L++ E+ W+++ N o K- w O- M V- PS+++ PE+++ Y-- PGP- t 5 X R tv- b+++ DI+++++ D+++ G e+ h+ r y+ ------END GEEK CODE BLOCK------ _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[email protected] IRC: efnet.unixtech.be:6667 - #unixtech
