Message snort: m'attaquerait-on ?

[pascal@linuxorable.net]

Bonjour,

En consultant mes ports, j'ai trouvé ceci:

tcp        0      0 82.67.66.131:139        82.67.147.155:1049      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4264      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2414      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3818      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1407      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1683      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1176      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1752      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3642      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2701      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2942      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1109      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1335      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4567      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4473      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2666      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3201      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1960      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1754      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1634      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2559      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1988      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:3156      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2953      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4728      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1775      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1541      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2626      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4333      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4603      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1325      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:4475      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1061      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1261      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:2211      SYN_RECV   -
tcp        0      0 82.67.66.131:139        82.67.147.155:1582      SYN_RECV   -

... et il y en avait au moins trois fois plus !
J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma
machine.

Puis je suis allé voir du côté des messages de snort dont j'ai simplement
installé les packages sans aucune configuration particulière autre que celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un
rapport journalier que je ne consulte que très rarement.
Et j'ai trouvé ces messages:

beaucoup beaucoup de ceux-là:
3  82.67.5.141      82.67.66.131     (portscan) TCP Portscan

un nombre certain de ceux-ci:
5  82.67.137.65     82.67.66.131     NETBIOS SMB-DS IPC$ unicode share access

et pas de comme cela:

4  82.197.206.239   82.67.66.131     NETBIOS SMB-DS DCERPC LSASS
DsRolerUpgradeDownlevelServer exploit attempt
4  82.67.51.191     82.67.66.131     NETBIOS SMB-DS Session Setup AndX request
unicode username overflow attempt

et aussi des choses comme ça:
3  82.67.66.131     82.67.212.105    NETBIOS SMB-DS repeated logon failure
3  82.67.104.96     82.67.66.131     (portscan) TCP Decoy Portscan

Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ?
J'avoue ne pas comprendre ces messages, mais quand même, "overflow attempt"
"(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pour me
dire bonjour ?

Ensuite, une autre chose m'intrigue beaucoup:

Percentage and number of events from one host to any with same method
==============================================================
  %    # of  from             method
==============================================================
42.97  4738  82.67.66.131     NETBIOS SMB-DS repeated logon failure

Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon failure
?

Et puis:

Percentage and number of events to one certain host
=================================================================
  %    # of  to               method
=================================================================
47.00  5182  82.67.66.131     NETBIOS SMB-DS Session Setup AndX request unicode
username overflow attempt
12.10  1334  82.67.44.44      NETBIOS SMB-DS repeated logon failure
 7.27   802  82.67.137.26     NETBIOS SMB-DS repeated logon failure
 6.30   695  82.67.167.46     NETBIOS SMB-DS repeated logon failure
 4.71   519  82.67.230.94     NETBIOS SMB-DS repeated logon failure

cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'étonne ?

Si quelqu'un peut me donner quelques informations claires sur ce qui se passe
sur ma machine ? ;-)

Pascal

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.