Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Sécurité log iptables

log iptables

6 réponses
Avatar
Ronald
Pour ma culture personnelle, est ce que quelqu'un pourrait m'orienter sur
ce log:
Feb 22 01:36:40 Athena kernel: [ICMP]IN=ppp0 OUT= MAC=
SRC=212.59.54.90 DST=80.14.147.176 LEN=56 TOS=0x00 PREC=0x00 TTL=242
ID=12389 PROTO=ICMP TYPE=11 CODE=0 [SRC=80.14.147.176 DST=81.14.147.176
LEN=572 TOS=0x00 PREC=0x00 TTL=1 ID=4279 PROTO=UDP SPT=666 DPT=135 LEN=552 ]
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
grosnours [F.T.]
Ronald wrote:
Pour ma culture personnelle, est ce que quelqu'un pourrait m'orienter sur
ce log:
Feb 22 01:36:40 Athena kernel: [ICMP]IN=ppp0 OUT= MAC > SRC!2.59.54.90 DST€.14.147.176 LENV TOS=0x00 PREC=0x00 TTL$2
ID389 PROTO=ICMP TYPE CODE=0 [SRC€.14.147.176 DST.14.147.176
LENW2 TOS=0x00 PREC=0x00 TTL=1 IDB79 PROTO=UDP SPTf6 DPT5 LENU2 ]


c'est un paquet ICMP TYPE 11 (CODE 0) provenant de 212.59.54.90

http://www.iana.org/assignments/icmp-parameters

Type Name Reference
---- ------------------------- ---------
11 Time Exceeded [RFC792]

Codes
0 Time to Live exceeded in Transit
1 Fragment Reassembly Time Exceeded

un paquet qui n'a pas pu arriver à destination à cause d'un TTL trop
petit (TTL=1 ca ne m'étonne pas :).

voila

Avatar
Stephane Catteau
Ronald nous disait récement dans fr.comp.securite
<news: :

Pour ma culture personnelle, est ce que quelqu'un pourrait
m'orienter sur ce log:
Feb 22 01:36:40 Athena kernel: [ICMP]IN=ppp0 OUT= MAC > SRC!2.59.54.90 DST€.14.147.176 LENV TOS=0x00 PREC=0x00
TTL$2 ID389 PROTO=ICMP TYPE CODE=0 [SRC€.14.147.176
DST.14.147.176 LENW2 TOS=0x00 PREC=0x00 TTL=1 IDB79
PROTO=UDP SPTf6 DPT5 LENU2 ]


Le paquet intercepté est un message ICMP 11/0, soit un Time Exceeded
pour cause de TTL trop bas. Il a été envoyé par la machine ayant
l'adresse IP 212.59.54.90 qu'un reverse DNS nomme rtr90.net-htp.de, ce
qui a tout d'un routeur[1], ce qui est logique vue le message reçu. Le
reste du log (ce qui est entre crochet) correspond aux en-têtes du
paquet en erreur. En l'occurence il s'agit d'un paquet UDP parti du
port 666 de l'ordinateur situé derrière l'adresse IP 80.14.147.176 (le
tien donc) et destiné au port 135 de l'ordinateur situé derrière
l'adresse IP 81.14.147.176 (a81-14-147-176.net-htp.de, on retombe
bien sur nos pieds).
L'interprétation la plus logique est qu'un Kiddy a voulu jouer au
cracker de la mort qui tue en spoofant ton adresse pour exploiter une
faille RPC de Windows, mais n'a pas été capable de régler le TTL du
paquet spoofé (il est à 1 :-/). Mais bon, c'est tellement gros comme
connerie que c'est peut-être autre chose, tel qu'un scanne détourné,
voire une tentative pour faire réagir le service RPC qu'il suposait
présent sur ton propre ordinateur.


[1]
J'aime bien lorsque qu'ils donnent des noms suffisement explicites ;-)
--
Les promesses sont à l'images des cuisses d'une belle femme. Plus elles
sont fermes, plus on a envie de passer outre, pour s'elever vers une
occupation plus plaisante... S. C.

Avatar
Ronald
On Sun, 22 Feb 2004 01:39:30 +0000, Ronald wrote:

Pour ma culture personnelle, est ce que quelqu'un pourrait m'orienter sur
ce log:
Feb 22 01:36:40 Athena kernel: [ICMP]IN=ppp0 OUT= MAC= SRC!2.59.54.90
DST€.14.147.176 LENV TOS=0x00 PREC=0x00 TTL$2 ID389 PROTO=ICMP
TYPE CODE=0 [SRC€.14.147.176 DST.14.147.176 LENW2 TOS=0x00
PREC=0x00 TTL=1 IDB79 PROTO=UDP SPTf6 DPT5 LENU2 ]


Après quelques recherches sur google à propos des ports 666 et 135, il
pourrait s'agir d'un banal spam par messenger avec l'adresse
source forgée.
J'en ai quelques un aujourd'hui en udp source 666 et destination
soit 135 soit 1026.

Avatar
Ronald
On Sun, 22 Feb 2004 02:13:43 +0000, Stephane Catteau wrote:


Feb 22 01:36:40 Athena kernel: [ICMP]IN=ppp0 OUT= MAC= SRC!2.59.54.90
DST€.14.147.176 LENV TOS=0x00 PREC=0x00 TTL$2 ID389 PROTO=ICMP
TYPE CODE=0 [SRC€.14.147.176 DST.14.147.176 LENW2 TOS=0x00
PREC=0x00 TTL=1 IDB79 PROTO=UDP SPTf6 DPT5 LENU2 ]


Le paquet intercepté est un message ICMP 11/0, soit un Time Exceeded
pour cause de TTL trop bas. Il a été envoyé par la machine ayant
l'adresse IP 212.59.54.90 qu'un reverse DNS nomme rtr90.net-htp.de, ce qui
a tout d'un routeur[1], ce qui est logique vue le message reçu. Le reste
du log (ce qui est entre crochet) correspond aux en-têtes du paquet en
erreur. En l'occurence il s'agit d'un paquet UDP parti du port 666 de
l'ordinateur situé derrière l'adresse IP 80.14.147.176 (le tien donc) et
destiné au port 135 de l'ordinateur situé derrière l'adresse IP
81.14.147.176 (a81-14-147-176.net-htp.de, on retombe bien sur nos pieds).
L'interprétation la plus logique est qu'un Kiddy a voulu jouer au
cracker de la mort qui tue en spoofant ton adresse pour exploiter une
faille RPC de Windows, mais n'a pas été capable de régler le TTL du
paquet spoofé (il est à 1 :-/). Mais bon, c'est tellement gros comme
connerie que c'est peut-être autre chose, tel qu'un scanne détourné,
voire une tentative pour faire réagir le service RPC qu'il suposait
présent sur ton propre ordinateur.


Merci, à priori donc, ce message ne m'était pas réellement
destiné, si il s'agit bien d'une usurpation d'adresse. Je remarque aussi
que les adresses src et dest sont très ressemblantes (j'ai cru tout
d'abord qu'elles étaient identiques), y aurait il
quelque vulnérabilité du portmapper de windows avec les adresses
similaires ou une autre raison 'pratique' à ce choix, toujours ds le cas
d'un spoof d'ip ?


Avatar
Stephane Catteau
Ronald nous disait récement dans fr.comp.securite
<news: :

Merci,


De rien.


à priori donc, ce message ne m'était pas réellement destiné, si il
s'agit bien d'une usurpation d'adresse.


Voilà, c'est exactement ça.


Je remarque aussi que les adresses src et dest sont très
ressemblantes (j'ai cru tout d'abord qu'elles étaient identiques), y
aurait il quelque vulnérabilité du portmapper de windows avec les
adresses similaires ou une autre raison 'pratique' à ce choix,
toujours ds le cas d'un spoof d'ip ?


Amha, c'est juste un cruel manque d'imagination de la part du kiddy.
Il s'est contenté de remplir le champ "adresse IP source" avec
l'adresse IP qu'il voulait attaquer puis de la changer très légèrement.


--
Les promesses sont à l'images des cuisses d'une belle femme. Plus elles
sont fermes, plus on a envie de passer outre, pour s'elever vers une
occupation plus plaisante... S. C.

Avatar
Stephane Catteau
Ronald nous disait récement dans fr.comp.securite
<news: :

Après quelques recherches sur google à propos des ports 666 et
135, il pourrait s'agir d'un banal spam par messenger avec
l'adresse source forgée.


C'est peu probable. Il n'y a pas vraiment d'intérêt à envoyer des
paquets spoofés pour ça, d'autant plus qu'un spam n'est utile que s'il
permet de gagner quelque chose, ce qui implique la présence d'une URL
et rend donc l'auteur identifiable d'une façon ou d'une autre.
Et puis, franchement, ce ne sont pas les failles RPC qui manquent avec
Windows ;-)


--
Les promesses sont à l'images des cuisses d'une belle femme. Plus elles
sont fermes, plus on a envie de passer outre, pour s'elever vers une
occupation plus plaisante... S. C.