--- [EMAIL PROTECTED] a �crit : > Bonjour, Bonjour,
> > En consultant mes ports, j'ai trouv� ceci: > > tcp 0 0 82.67.66.131:139 > 82.67.147.155:1049 SYN_RECV - > > ... et il y en avait au moins trois fois plus ! > J'ai donc imm�diatement stopp� samba qui tourne, qui > plus est, pour rien sur ma > machine. Est-ce que tu pourrais nous donner plus d'info sur ton architecture r�seau : Quelle est ton adresse publique ? Est-ce que tu utilises un firewall ? O� est install� ton snort ? Et toutes informations qui nous permettrait d'essayer de trouver un solution > > Puis je suis all� voir du c�t� des messages de snort > dont j'ai simplement > install� les packages sans aucune configuration > particuli�re autre que celle > mise en place lors de l'installation (Debian/Sid). > Je ne connait pas du tout ce logiciel, mais il me > fournit tout de m�me un > rapport journalier que je ne consulte que tr�s > rarement. Essaye de remettre � jour les r�gles de snort, tu peux utiliser le paquet oinkmaster. Super facile � utiliser . Puis tu red�marrares snort. > Et j'ai trouv� ces messages: > > beaucoup beaucoup de ceux-l�: > 3 82.67.5.141 82.67.66.131 (portscan) TCP > Portscan > > un nombre certain de ceux-ci: > 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS > IPC$ unicode share access > > et pas de comme cela: > > 4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS > DCERPC LSASS > DsRolerUpgradeDownlevelServer exploit attempt > 4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS > Session Setup AndX request > unicode username overflow attempt > > et aussi des choses comme �a: > 3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS > repeated logon failure > 3 82.67.104.96 82.67.66.131 (portscan) TCP > Decoy Portscan > > Donc, je ne r�ve pas, on cherche � attenter � > l'int�grit� de ma machine, non ? Ce n'est pas s�r que ce soit des attaques, cela peut-etre des faux positifs. Pour v�rifier : tu peux v�rifier les noms et provenances des adresses sources et des adresses destinations des attaques. SI tu n'as pas de firewall tu en installes un puisque normalement on ne laisse pas d'acc�s vers des ports NEtbios en provenance d'internet. Tu sniffes le r�seau pour voir exactement le type d'attaques et les commandes pass�s. > J'avoue ne pas comprendre ces messages, mais quand > m�me, "overflow attempt" > "(portscan) TCP Decoy Portscan" "repeated logon > failure", c'�tait pas pour me > dire bonjour ? Un coup de google sur le nom des attaques devrait t'en dire plus. http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt > > Ensuite, une autre chose m'intrigue beaucoup: > > Percentage and number of events from one host to any > with same method > ============================================================== > % # of from method > ============================================================== > 42.97 4738 82.67.66.131 NETBIOS SMB-DS > repeated logon failure > > Comment se fait-il que je sois (82.67.66.131) > l'origine de tant de logon failure > ? > > Et puis: > > Percentage and number of events to one certain host > ================================================================= > % # of to method > ================================================================= > 47.00 5182 82.67.66.131 NETBIOS SMB-DS Session > Setup AndX request unicode > username overflow attempt > 12.10 1334 82.67.44.44 NETBIOS SMB-DS > repeated logon failure > 7.27 802 82.67.137.26 NETBIOS SMB-DS > repeated logon failure > 6.30 695 82.67.167.46 NETBIOS SMB-DS > repeated logon failure > 4.71 519 82.67.230.94 NETBIOS SMB-DS > repeated logon failure > > cette fois-ci, comment ce fait-il qu'il y ait > d'autres destinations que mon > adresses ? > Que je sois la cible d'une attaque, passe encore, > mais qu'il y ait sur ma > machine des cibles qui ne sont pas moi m'�tonne ? > > Si quelqu'un peut me donner quelques informations > claires sur ce qui se passe > sur ma machine ? ;-) On va essayer > > Pascal > > AC D�couvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Bal�ares et la R�p. Dominicaine sur Yahoo! Voyages : http://fr.travel.yahoo.com/promotions/mar14.html -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
