Merci à tous,
Je vais arrêter la parano. En regardant dans iptables il y a des entrées qui
génère ces auditIn pour signaler l'arrivée de paquets qui peuvent être
suspect mais qui le sont pas toujours :-)
José HERBRECHT
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
PROTECTED]
[mailto:[EMAIL PROTECTED]]On Behalf Of jose HERBRECHT
Sent: Tuesday, September 25, 2001 7:47 PM
To: Mandrake Confirme; [EMAIL PROTECTED]
Subject: RE: [Confirme] Message d'audite - Est-on entrain de me scanner
ou pire
Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit :
En
En réponse à De Leeuw Guy [EMAIL PROTECTED]:
Bonjour,
Pour info :
Curieusement depuis +jours je detecte aussi des tentatives
d'intrusions,
les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne
s'agit
pas d'un ping
mais bien de recherches http de fichiers windows.
To: Mandrake Confirme; [EMAIL PROTECTED]
Subject: RE: [Confirme] Message d'audite - Est-on entrain de me scanner
ou pire
Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit :
En effet InteractiveBastille ne marche pas sur cette version de Mandrake
sous prétexte que la version de
Bonjour,
Pour info :
Curieusement depuis +jours je detecte aussi des tentatives d'intrusions,
les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne s'agit
pas d'un ping
mais bien de recherches http de fichiers windows.
A suivre...
Guy
Moi c'était d'autres adresses :
En réponse à José HERBRECHT [EMAIL PROTECTED]:
Moi c'était d'autres adresses : 209.81.60.140, 202.103.25.139 et
217.128.160.102.
Mais à chaque fois que je lançai un connexion sur ces serveurs c'est une
page de présentation de base d'un serveur Apache que j'obtenai. Cette
page qui apparaît
Salut Olivier,
Merci pour ton info et exemple de réelle tentative d'attaque, mais tu
là détecte comment, au moment ou elle se produit ??
T'as un feu rouge qui s'allume, un message d'alerte, la fumée qui sort
des H.P. ??? --o))
Ca serait sympa d'avoir un truc qui s'affiche automatiquement en cas
: [Confirme] Message d'audite - Est-on entrain de me scanner ou
pire
Tu aura toujours plein de tentatives de connexion, voulues ou non, le
mieux est limiter tes log avec iptables, même sur le réseau interne j'ai des
rejets parce qu'un soft tente tout un broadcast.
Alors oui tu est parano
Salut Yann-Erick,
Merci pour ton info et exemple de réelle tentative d'attaque, mais
tu
là détecte comment, au moment ou elle se produit ??
T'as un feu rouge qui s'allume, un message d'alerte, la fumée qui
sort
des H.P. ??? --o))
Ca serait sympa d'avoir un truc qui s'affiche
Le Mercredi 26 Septembre 2001 20:26, Didier NOACK scribit :
J'ai lancé swatch et il me répond :
***swatch 2.2 (pid:6645) started at mer sep etc ...
/usr/bin/tail: /var/log/syslog: Aucun fichier ou répertoire de ce type
/usr/bin/tail: Aucun fichier restant
[root@bastard linux]# whereis tail
Hello,
J'ai installé une MDK 8.1 rc1 avec un firewall basé sur Bastille (qui à
nécessité un peu de bidouille)
J'arrêta pas de recevoir un message d'audit :
auditIN=ppp0 OUT= MAC= SRC=80.11.xxx.xxx DEST=217.xxx.xxx.xxx LEN=36
TOS=0x00 PREC=0x00 TTL=120 ID=17405 PROTO=ICMP TYPE=0 CODE=0 ID=768
jose HERBRECHT wrote:
auditIN=ppp0 OUT= MAC= SRC=80.11.xxx.xxx DEST=217.xxx.xxx.xxx LEN=36
TOS=0x00 PREC=0x00 TTL=120 ID=17405 PROTO=ICMP TYPE=0 CODE=0 ID=768 SEQ= 4
je ne sais ce qu'est l'audit sur mandrake
mais là apparemment c'est la réponse d'un ping
cf PROTO=ICMP TYPE=0 CODE=0
as tu
Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit :
En effet InteractiveBastille ne marche pas sur cette version de Mandrake
sous prétexte que la version de la distribution nest pas supportée. Ce qui
fait que certains services ou restrictions mises normalement en place par
les sript
Le Mardi 25 Septembre 2001 19:47, vous avez écrit :
dl les derniers rpm cooker ( http://fr.rpmfind.net ), le pb est corrigé.
je ne pense pas que tu ai grand choses à craindre.
J'arrive pas à ouvrir de seesion avec le broser sur un serveur FTP conteant
le cooker sur ma machine win$
Alors
Bordel çà continue
Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano ?
Mon adresse ppp0 était 217.128.242.xxx
1er Audit :
auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx
LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=47603 DF PROTO=TCP SPT=3086
DPT=111
Bordel çà continue
Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano ?
Mon adresse ppp0 était 217.128.242.xxx
1er Audit :
auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx
LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=47603 DF PROTO=TCP SPT=3086
DPT=111
16 matches
Mail list logo