Bonjour, En consultant mes ports, j'ai trouvé ceci:
tcp 0 0 82.67.66.131:139 82.67.147.155:1049 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4264 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2414 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:3818 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1407 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1683 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1176 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1752 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:3642 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2701 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2942 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1109 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1335 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4567 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4473 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2666 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:3201 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1960 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1754 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1634 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2559 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1988 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:3156 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2953 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4728 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1775 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1541 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2626 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4333 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4603 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1325 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:4475 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1061 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1261 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:2211 SYN_RECV - tcp 0 0 82.67.66.131:139 82.67.147.155:1582 SYN_RECV - ... et il y en avait au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine. Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de l'installation (Debian/Sid). Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un rapport journalier que je ne consulte que très rarement. Et j'ai trouvé ces messages: beaucoup beaucoup de ceux-là: 3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan un nombre certain de ceux-ci: 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share access et pas de comme cela: 4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS DCERPC LSASS DsRolerUpgradeDownlevelServer exploit attempt 4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt et aussi des choses comme ça: 3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure 3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ? J'avoue ne pas comprendre ces messages, mais quand même, "overflow attempt" "(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pour me dire bonjour ? Ensuite, une autre chose m'intrigue beaucoup: Percentage and number of events from one host to any with same method ============================================================== % # of from method ============================================================== 42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon failure ? Et puis: Percentage and number of events to one certain host ================================================================= % # of to method ================================================================= 47.00 5182 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt 12.10 1334 82.67.44.44 NETBIOS SMB-DS repeated logon failure 7.27 802 82.67.137.26 NETBIOS SMB-DS repeated logon failure 6.30 695 82.67.167.46 NETBIOS SMB-DS repeated logon failure 4.71 519 82.67.230.94 NETBIOS SMB-DS repeated logon failure cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon adresses ? Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma machine des cibles qui ne sont pas moi m'étonne ? Si quelqu'un peut me donner quelques informations claires sur ce qui se passe sur ma machine ? ;-) Pascal ---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program.