Re: Message snort: m'attaquerait-on ?

To: debian-user-french@lists.debian.org
Subject: Re: Message snort: m'attaquerait-on ?
From: pingouin osmolateur <pingouin_osmolateur@yahoo.fr>
Date: Tue, 15 Mar 2005 09:44:07 +0100 (CET)
Message-id: <[🔎] 20050315084407.61493.qmail@web25405.mail.ukl.yahoo.com>
In-reply-to: <[🔎] 20050314215813.640ifvuazwowwwsw@www.linuxorable.net>

 --- pascal@linuxorable.net a écrit : 
> Bonjour,

Bonjour,

> 
> En consultant mes ports, j'ai trouvé ceci:
> 
> tcp        0      0 82.67.66.131:139       
> 82.67.147.155:1049      SYN_RECV   -

> 
> ... et il y en avait au moins trois fois plus !
> J'ai donc immédiatement stoppé samba qui tourne, qui
> plus est, pour rien sur ma
> machine.

Est-ce que tu pourrais nous donner plus d'info sur ton
architecture réseau : 
Quelle est ton adresse publique ?
Est-ce que tu utilises un firewall ?
Où est installé ton snort ?
Et toutes informations qui nous permettrait d'essayer
de trouver un solution 


> 
> Puis je suis allé voir du côté des messages de snort
> dont j'ai simplement
> installé les packages sans aucune configuration
> particulière autre que celle
> mise en place lors de l'installation (Debian/Sid).
> Je ne connait pas du tout ce logiciel, mais il me
> fournit tout de même un
> rapport journalier que je ne consulte que très
> rarement.

Essaye de remettre à jour les régles de snort, tu peux
utiliser le paquet oinkmaster. Super facile à utiliser
. Puis tu redémarrares snort. 

> Et j'ai trouvé ces messages:
> 
> beaucoup beaucoup de ceux-là:
> 3  82.67.5.141      82.67.66.131     (portscan) TCP
> Portscan
> 
> un nombre certain de ceux-ci:
> 5  82.67.137.65     82.67.66.131     NETBIOS SMB-DS
> IPC$ unicode share access
> 
> et pas de comme cela:
> 
> 4  82.197.206.239   82.67.66.131     NETBIOS SMB-DS
> DCERPC LSASS
> DsRolerUpgradeDownlevelServer exploit attempt
> 4  82.67.51.191     82.67.66.131     NETBIOS SMB-DS
> Session Setup AndX request
> unicode username overflow attempt
> 
> et aussi des choses comme ça:
> 3  82.67.66.131     82.67.212.105    NETBIOS SMB-DS
> repeated logon failure
> 3  82.67.104.96     82.67.66.131     (portscan) TCP
> Decoy Portscan
> 
> Donc, je ne rêve pas, on cherche à attenter à
> l'intégrité de ma machine, non ?

Ce n'est pas sûr que ce soit des attaques, cela
peut-etre des faux positifs. Pour vérifier : 
tu peux vérifier les noms et provenances des adresses
sources et des adresses destinations des attaques.
SI tu n'as pas de firewall tu en installes un puisque
normalement on ne laisse pas d'accés vers des ports
NEtbios en provenance d'internet.
Tu sniffes le réseau pour voir exactement le type
d'attaques et les commandes passés.

> J'avoue ne pas comprendre ces messages, mais quand
> même, "overflow attempt"
> "(portscan) TCP Decoy Portscan" "repeated logon
> failure", c'était pas pour me
> dire bonjour ?

Un coup de google sur le nom des attaques devrait t'en
dire plus.
http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt

> 
> Ensuite, une autre chose m'intrigue beaucoup:
> 
> Percentage and number of events from one host to any
> with same method
>
==============================================================
>   %    # of  from             method
>
==============================================================
> 42.97  4738  82.67.66.131     NETBIOS SMB-DS
> repeated logon failure
> 
> Comment se fait-il que je sois (82.67.66.131)
> l'origine de tant de logon failure
> ?
> 
> Et puis:
> 
> Percentage and number of events to one certain host
>
=================================================================
>   %    # of  to               method
>
=================================================================
> 47.00  5182  82.67.66.131     NETBIOS SMB-DS Session
> Setup AndX request unicode
> username overflow attempt
> 12.10  1334  82.67.44.44      NETBIOS SMB-DS
> repeated logon failure
>  7.27   802  82.67.137.26     NETBIOS SMB-DS
> repeated logon failure
>  6.30   695  82.67.167.46     NETBIOS SMB-DS
> repeated logon failure
>  4.71   519  82.67.230.94     NETBIOS SMB-DS
> repeated logon failure
> 
> cette fois-ci, comment ce fait-il qu'il y ait
> d'autres destinations que mon
> adresses ?
> Que je sois la cible d'une attaque, passe encore,
> mais qu'il y ait sur ma
> machine des cibles qui ne sont pas moi m'étonne ?
> 
> Si quelqu'un peut me donner quelques informations
> claires sur ce qui se passe
> sur ma machine ? ;-)

On va essayer 

> 
> Pascal
> 
> 

AC




	

	
		
Découvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages :
http://fr.travel.yahoo.com/promotions/mar14.html

Reply to:

References:
- Message snort: m'attaquerait-on ?
  - From: pascal@linuxorable.net

Prev by Date: Re: Clé USB 2.0 plus
Next by Date: écran désactivé
Previous by thread: Message snort: m'attaquerait-on ?
Next by thread: mplayer sous Debian
Index(es):
- Date
- Thread