Message snort: m'attaquerait-on ?
Le
pascal
Bonjour,
En consultant mes ports, j'ai trouvé ceci:
tcp 0 0 82.67.66.131:139 82.67.147.155:1049 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4264 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2414 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3818 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1407 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1683 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1176 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1752 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3642 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2701 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2942 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1109 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1335 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4567 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4473 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2666 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3201 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1960 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1754 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1634 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2559 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1988 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3156 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2953 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4728 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1775 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1541 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2626 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4333 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4603 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1325 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4475 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1061 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1261 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2211 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1582 SYN_REC=
V -
et il y en avait au moins trois fois plus !
J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rie=
n sur ma
machine.
Puis je suis allé voir du côté des messages de snort dont j'ai simple=
ment
installé les packages sans aucune configuration particulière autre que =
celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un
rapport journalier que je ne consulte que très rarement.
Et j'ai trouvé ces messages:
beaucoup beaucoup de ceux-là:
3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan
un nombre certain de ceux-ci:
5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share acce=
ss
et pas de comme cela:
4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS DCERPC LSASS
DsRolerUpgradeDownlevelServer exploit attempt
4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS Session Setup AndX requ=
est
unicode username overflow attempt
et aussi des choses comme ça:
3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure
3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan
Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma m=
achine, non ?
J'avoue ne pas comprendre ces messages, mais quand même, "overflow attemp=
t"
"(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pou=
r me
dire bonjour ?
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any with same method
==
==
% # of from method
==
==
42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure
Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon fa=
ilure
?
Et puis:
Percentage and number of events to one certain host
==
==
% # of to method
==
==
47.00 5182 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request uni=
code
username overflow attempt
12.10 1334 82.67.44.44 NETBIOS SMB-DS repeated logon failure
7.27 802 82.67.137.26 NETBIOS SMB-DS repeated logon failure
6.30 695 82.67.167.46 NETBIOS SMB-DS repeated logon failure
4.71 519 82.67.230.94 NETBIOS SMB-DS repeated logon failure
cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'étonne ?
Si quelqu'un peut me donner quelques informations claires sur ce qui se pas=
se
sur ma machine ? ;-)
Pascal
-
This message was sent using IMP, the Internet Messaging Program.
En consultant mes ports, j'ai trouvé ceci:
tcp 0 0 82.67.66.131:139 82.67.147.155:1049 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4264 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2414 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3818 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1407 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1683 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1176 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1752 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3642 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2701 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2942 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1109 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1335 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4567 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4473 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2666 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3201 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1960 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1754 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1634 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2559 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1988 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3156 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2953 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4728 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1775 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1541 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2626 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4333 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4603 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1325 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4475 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1061 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1261 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2211 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1582 SYN_REC=
V -
et il y en avait au moins trois fois plus !
J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rie=
n sur ma
machine.
Puis je suis allé voir du côté des messages de snort dont j'ai simple=
ment
installé les packages sans aucune configuration particulière autre que =
celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un
rapport journalier que je ne consulte que très rarement.
Et j'ai trouvé ces messages:
beaucoup beaucoup de ceux-là:
3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan
un nombre certain de ceux-ci:
5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share acce=
ss
et pas de comme cela:
4 82.197.206.239 82.67.66.131 NETBIOS SMB-DS DCERPC LSASS
DsRolerUpgradeDownlevelServer exploit attempt
4 82.67.51.191 82.67.66.131 NETBIOS SMB-DS Session Setup AndX requ=
est
unicode username overflow attempt
et aussi des choses comme ça:
3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure
3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan
Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma m=
achine, non ?
J'avoue ne pas comprendre ces messages, mais quand même, "overflow attemp=
t"
"(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pou=
r me
dire bonjour ?
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any with same method
==
==
% # of from method
==
==
42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure
Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon fa=
ilure
?
Et puis:
Percentage and number of events to one certain host
==
==
% # of to method
==
==
47.00 5182 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request uni=
code
username overflow attempt
12.10 1334 82.67.44.44 NETBIOS SMB-DS repeated logon failure
7.27 802 82.67.137.26 NETBIOS SMB-DS repeated logon failure
6.30 695 82.67.167.46 NETBIOS SMB-DS repeated logon failure
4.71 519 82.67.230.94 NETBIOS SMB-DS repeated logon failure
cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'étonne ?
Si quelqu'un peut me donner quelques informations claires sur ce qui se pas=
se
sur ma machine ? ;-)
Pascal
-
This message was sent using IMP, the Internet Messaging Program.
Poser une question
Bonjour,
Est-ce que tu pourrais nous donner plus d'info sur ton
architecture réseau :
Quelle est ton adresse publique ?
Est-ce que tu utilises un firewall ?
Où est installé ton snort ?
Et toutes informations qui nous permettrait d'essayer
de trouver un solution
Essaye de remettre à jour les régles de snort, tu peux
utiliser le paquet oinkmaster. Super facile à utiliser
. Puis tu redémarrares snort.
Ce n'est pas sûr que ce soit des attaques, cela
peut-etre des faux positifs. Pour vérifier :
tu peux vérifier les noms et provenances des adresses
sources et des adresses destinations des attaques.
SI tu n'as pas de firewall tu en installes un puisque
normalement on ne laisse pas d'accés vers des ports
NEtbios en provenance d'internet.
Tu sniffes le réseau pour voir exactement le type
d'attaques et les commandes passés.
Un coup de google sur le nom des attaques devrait t'en
dire plus.
http://www.snort.org/pub-bin/sigs-s...ow+attempt
============================================================= > % # of from method
============================================================= > 42.97 4738 82.67.66.131 NETBIOS SMB-DS
================================================================ > % # of to method
================================================================ > 47.00 5182 82.67.66.131 NETBIOS SMB-DS Session
On va essayer
AC
Découvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages :
http://fr.travel.yahoo.com/promotions/mar14.html
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact