....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
In article
<1gnpva8.2f4h321e46ou0N%,
(Patrick ESNAULT) wrote:....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
128.0.0.0 ? c'est sérieux ?C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance. Le Xserve dont je parle était particulièrement
sensible, il mourrait tout seul après une journée de scan par un outils
de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF,
24h apres plus de xserve. Ces crash absolument reproductibles et
ponctuels à 10min près, ont complétement disparu le jour ou on a
désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
In article
<1gnpva8.2f4h321e46ou0N%patrick.noXmail.esnault@cfd.noXmail.fr>,
patrick.noXmail.esnault@cfd.noXmail.fr (Patrick ESNAULT) wrote:
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
128.0.0.0 ? c'est sérieux ?
C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance. Le Xserve dont je parle était particulièrement
sensible, il mourrait tout seul après une journée de scan par un outils
de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF,
24h apres plus de xserve. Ces crash absolument reproductibles et
ponctuels à 10min près, ont complétement disparu le jour ou on a
désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
In article
<1gnpva8.2f4h321e46ou0N%,
(Patrick ESNAULT) wrote:....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
tue le stagiaire après avoir détruit son portable devant lui.
Je n'ai pas encore identifié le virus (le pc est dans un bocal en
attendant) mais il scannait toutes les adresses 192.168.x.x à raison de
36 adresses /secondes en usurpant l'adresse du FW en 128.0.0.0 (je sais
c'est étrange, mais c'est le message d'alerte de mon FW : cf
ci-dessous).
128.0.0.0 ? c'est sérieux ?C'est le FW qui a donné l'alerte, mais en 90 mn il avait scanné 149 000
fois le réseau !!!
Bref on isole le PC, mais mes deux Xserve sont devenus des Zombies :
* ils ne sont pas morts (pingables)
* ssh impossible
* fichiers logs inexistants durant cette période.
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance. Le Xserve dont je parle était particulièrement
sensible, il mourrait tout seul après une journée de scan par un outils
de monitoring (Nagios). Juste un scan par minute sur le port SSH et PAF,
24h apres plus de xserve. Ces crash absolument reproductibles et
ponctuels à 10min près, ont complétement disparu le jour ou on a
désactivé la sonde nagios.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)L'un des deux a redémarré sans faire d'histoires (il était sur une
partie du réseau accessible en IPSec)
L'autre (la messagerie...) a obstinément (trois essais) refusé de
démarrer avec une liaison internet active mais il a démarré sans
problème avec un réseau qui n'avait PAS de liaison internet.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?...il me reste trop de questions sans réponse (dont l'état de mon réseau
demain matin).
tcpdump est ton ami (et netstat, et tout et tout)
patpro
tue le stagiaire après avoir détruit son portable devant lui.
c'est prévu.
128.0.0.0 ? c'est sérieux ?
Je suis fatigué :
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout)
C'est bon d'avoir des amis :-)
tue le stagiaire après avoir détruit son portable devant lui.
c'est prévu.
128.0.0.0 ? c'est sérieux ?
Je suis fatigué :
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout)
C'est bon d'avoir des amis :-)
tue le stagiaire après avoir détruit son portable devant lui.
c'est prévu.
128.0.0.0 ? c'est sérieux ?
Je suis fatigué :
j'ai deja eu ce genre de chose sur un xserve pourri. Il faut savoir que
sshd est lancé par xinetd, ce qui est d'une bétise crasse en terme de
ressources/performance.
Il n'est pas exclu que ton soucis vienne de la (ie. du même mécanisme)
Intéressant.
Pire : il s'est remis en mode zombie dès que j'ai rallumé internet.
il ne continuerait pas par hasard à recevoir des paquets ?
Je n'avais pas envisagé, mais c'est possible.
tcpdump est ton ami (et netstat, et tout et tout)
C'est bon d'avoir des amis :-)
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Non : le virus n'est pas sur Mac...
(encore que ?)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Merci pour ce post.
Celà me conforte dans l'idée qu'il faut activer le fw en local sur
chaque machines.
(Je travaille aussi dans un reseau plein de stagiaires et autres intrus,
soit en moyenne 40 machines infectées en permanance, on doit se protéger
non-seulement de l'extérieur, mais aussi de l'intérieur)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Merci pour ce post.
Celà me conforte dans l'idée qu'il faut activer le fw en local sur
chaque machines.
(Je travaille aussi dans un reseau plein de stagiaires et autres intrus,
soit en moyenne 40 machines infectées en permanance, on doit se protéger
non-seulement de l'extérieur, mais aussi de l'intérieur)
....mais sur un portable PC d'un stagiaire branché directement sur le
réseau interne et donc sans antivurus et avant le FW :-((
[snip]
Merci pour ce post.
Celà me conforte dans l'idée qu'il faut activer le fw en local sur
chaque machines.
(Je travaille aussi dans un reseau plein de stagiaires et autres intrus,
soit en moyenne 40 machines infectées en permanance, on doit se protéger
non-seulement de l'extérieur, mais aussi de l'intérieur)
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé, ou tu fais passer tout le monde par le firewall, ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé, ou tu fais passer tout le monde par le firewall, ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
je ne suis pas d'accord avec cette conclusion. Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé, ou tu fais passer tout le monde par le firewall, ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre
à examiner sa machine.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés
et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft.
Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle,
ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les
portables me semble quasi irréalisable car le câblage physique n'est pas
modifiable (sauf à jouer avec le tableau de brassage à chaque changement
d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique
n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses
autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus
simple à réaliser.
Questions annexe :
sait-on ce que consomme le FW soft d'un Xserve ?
pourquoi est-ce une mauvaise idée de l'activer ?
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se
fait passer pour 127.0.0.1 ?
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre
à examiner sa machine.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés
et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft.
Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle,
ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les
portables me semble quasi irréalisable car le câblage physique n'est pas
modifiable (sauf à jouer avec le tableau de brassage à chaque changement
d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique
n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses
autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus
simple à réaliser.
Questions annexe :
sait-on ce que consomme le FW soft d'un Xserve ?
pourquoi est-ce une mauvaise idée de l'activer ?
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se
fait passer pour 127.0.0.1 ?
Mon stagiaire part demain (avec son PC) et je n'ai pas de temps à perdre
à examiner sa machine.
Ce que je ne comprends pas, c'est pourquoi mes deux Xserve sont tombés
et pas trois autres serveurs PC sous NT4 et W2000 sur le même réseau.
Epuis normalement le denis de service sert à em...er cisco ou microsoft.
Bloquer un serveur isolé n'a aucun sens si on en prends pas le contrôle,
ce qui ne semble pas avoir été le cas chez moi.
Sur la remarque des FW internes : créer un sous réseau avec les
portables me semble quasi irréalisable car le câblage physique n'est pas
modifiable (sauf à jouer avec le tableau de brassage à chaque changement
d'utilisateur et/ou de bureau) et se contenter d'un sous réseau logique
n'est pas suffisant car dans mon cas "il" a scanné toutes les adresses
autorisées en adresse privé !
Enfermer les serveurs derrière un autre FW hard est par contre plus
simple à réaliser.
Questions annexe :
sait-on ce que consomme le FW soft d'un Xserve ?
pourquoi est-ce une mauvaise idée de l'activer ?
un FW soft est-il capable de détecter l'intrusion de quelqu'un qui se
fait passer pour 127.0.0.1 ?
je ne suis pas d'accord avec cette conclusion.
Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé,
ou tu fais passer tout le monde par le firewall,
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
je ne suis pas d'accord avec cette conclusion.
Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé,
ou tu fais passer tout le monde par le firewall,
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
je ne suis pas d'accord avec cette conclusion.
Si ton réseau interne
n'est pas sûr tu places simplement tes serveurs sur un autre réseau
protégé,
ou tu fais passer tout le monde par le firewall,
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
patpro ~ patrick proniewski wrote:je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de
notre reseau
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère
Et je sais pas mettre ça en place.
Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ?
Si je ponds (après étude) un bon fichier de config pour fw, je le
balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement
peu d'ennuis derrières (quelques réglages parcequ'on avait oublié
certains utilisateurs avec des ip spéciales)
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de
notre reseau
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère
Et je sais pas mettre ça en place.
Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ?
Si je ponds (après étude) un bon fichier de config pour fw, je le
balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement
peu d'ennuis derrières (quelques réglages parcequ'on avait oublié
certains utilisateurs avec des ip spéciales)
patpro ~ patrick proniewski wrote:je ne suis pas d'accord avec cette conclusion.
Note bien que c'est pas la mienne, mais celle du spécialiste sécurité de
notre reseau
ou tu fais passer tout le monde par le firewall,
C'est pas moi qui le gère
Et je sais pas mettre ça en place.
Tu philtres tout ce qui bouges sur le switch dirrectement ?
ou encore tu
créés un sous réseau pour les ordinateurs portables qui est filtré par
le firewall (ce que font les grosses boites en général).
Lourd. Et ça protège pas les portables les uns des autres.
Activer le firewall de chaque machine est, je pense, une mauvaise idée.
Pourquoi ?
Si je ponds (après étude) un bon fichier de config pour fw, je le
balance sur tous mes postes, quel seront les conséquences négatives ?
Note qu'on a déjà activé un fw soft sur les serveurs, avec relativement
peu d'ennuis derrières (quelques réglages parcequ'on avait oublié
certains utilisateurs avec des ip spéciales)
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par
xinetd, et que chaque connexion coute bien plus cher en CPU que si le
SSHd était lancé en permanance.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par
xinetd, et que chaque connexion coute bien plus cher en CPU que si le
SSHd était lancé en permanance.
parce que comme je l'expliquais, MacOS X sert le SSH (entre autre) par
xinetd, et que chaque connexion coute bien plus cher en CPU que si le
SSHd était lancé en permanance.