Message snort: m'attaquerait-on ?

pascal Mon, 14 Mar 2005 12:58:29 -0800

Bonjour,

En consultant mes ports, j'ai trouv� ceci:


tcp        0      0 82.67.66.131:139        82.67.147.155:1049      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4264      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2414      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3818      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1407      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1683      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1176      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1752      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3642      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2701      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2942      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1109      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1335      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4567      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4473      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2666      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3201      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1960      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1754      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1634      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2559      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1988      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3156      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2953      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4728      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1775      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1541      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2626      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4333      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4603      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1325      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4475      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1061      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1261      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2211      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1582      SYN_RECV   -

... et il y en avait au moins trois fois plus !
J'ai donc imm�diatement stopp� samba qui tourne, qui plus est, pour rien sur ma
machine.

Puis je suis all� voir du c�t� des messages de snort dont j'ai simplement
install� les packages sans aucune configuration particuli�re autre que celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me fournit tout de m�me un
rapport journalier que je ne consulte que tr�s rarement.
Et j'ai trouv� ces messages:

beaucoup beaucoup de ceux-l�:
3  82.67.5.141      82.67.66.131     (portscan) TCP Portscan

un nombre certain de ceux-ci:
5  82.67.137.65     82.67.66.131     NETBIOS SMB-DS IPC$ unicode share access

et pas de comme cela:

4  82.197.206.239   82.67.66.131     NETBIOS SMB-DS DCERPC LSASS
DsRolerUpgradeDownlevelServer exploit attempt
4  82.67.51.191     82.67.66.131     NETBIOS SMB-DS Session Setup AndX request
unicode username overflow attempt

et aussi des choses comme �a:
3  82.67.66.131     82.67.212.105    NETBIOS SMB-DS repeated logon failure
3  82.67.104.96     82.67.66.131     (portscan) TCP Decoy Portscan

Donc, je ne r�ve pas, on cherche � attenter � l'int�grit� de ma machine, non ?
J'avoue ne pas comprendre ces messages, mais quand m�me, "overflow attempt"
"(portscan) TCP Decoy Portscan" "repeated logon failure", c'�tait pas pour me
dire bonjour ?

Ensuite, une autre chose m'intrigue beaucoup:

Percentage and number of events from one host to any with same method
==============================================================
  %    # of  from             method
==============================================================
42.97  4738  82.67.66.131     NETBIOS SMB-DS repeated logon failure

Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon failure
?

Et puis:

Percentage and number of events to one certain host
=================================================================
  %    # of  to               method
=================================================================
47.00  5182  82.67.66.131     NETBIOS SMB-DS Session Setup AndX request unicode
username overflow attempt
12.10  1334  82.67.44.44      NETBIOS SMB-DS repeated logon failure
 7.27   802  82.67.137.26     NETBIOS SMB-DS repeated logon failure
 6.30   695  82.67.167.46     NETBIOS SMB-DS repeated logon failure
 4.71   519  82.67.230.94     NETBIOS SMB-DS repeated logon failure

cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'�tonne ?

Si quelqu'un peut me donner quelques informations claires sur ce qui se passe
sur ma machine ? ;-)

Pascal

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Message snort: m'attaquerait-on ?

Répondre à