tcp 0 0 82.67.66.131:139 82.67.147.155:1049 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4264 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2414 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3818 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1407 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1683 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1176 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1752 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3642 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2701 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2942 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1109 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1335 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4567 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4473 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2666 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3201 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1960 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1754 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1634 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2559 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1988 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:3156 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2953 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4728 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1775 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1541 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2626 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4333 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4603 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1325 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:4475 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1061 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1261 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:2211 SYN_REC=
V -
tcp 0 0 82.67.66.131:139 82.67.147.155:1582 SYN_REC=
V -
... et il y en avait au moins trois fois plus !
J'ai donc imm=E9diatement stopp=E9 samba qui tourne, qui plus est, pour rie=
n sur ma
machine.
Puis je suis all=E9 voir du c=F4t=E9 des messages de snort dont j'ai simple=
ment
install=E9 les packages sans aucune configuration particuli=E8re autre que =
celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me fournit tout de m=EAme un
rapport journalier que je ne consulte que tr=E8s rarement.
Et j'ai trouv=E9 ces messages:
beaucoup beaucoup de ceux-l=E0:
3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan
un nombre certain de ceux-ci:
5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share acce=
ss
et aussi des choses comme =E7a:
3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure
3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan
Donc, je ne r=EAve pas, on cherche =E0 attenter =E0 l'int=E9grit=E9 de ma m=
achine, non ?
J'avoue ne pas comprendre ces messages, mais quand m=EAme, "overflow attemp=
t"
"(portscan) TCP Decoy Portscan" "repeated logon failure", c'=E9tait pas pou=
r me
dire bonjour ?
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any with same method
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
% # of from method
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
42.97 4738 82.67.66.131 NETBIOS SMB-DS repeated logon failure
Comment se fait-il que je sois (82.67.66.131) l'origine de tant de logon fa=
ilure
?
Et puis:
Percentage and number of events to one certain host
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
% # of to method
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
47.00 5182 82.67.66.131 NETBIOS SMB-DS Session Setup AndX request uni=
code
username overflow attempt
12.10 1334 82.67.44.44 NETBIOS SMB-DS repeated logon failure
7.27 802 82.67.137.26 NETBIOS SMB-DS repeated logon failure
6.30 695 82.67.167.46 NETBIOS SMB-DS repeated logon failure
4.71 519 82.67.230.94 NETBIOS SMB-DS repeated logon failure
cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'=E9tonne ?
Si quelqu'un peut me donner quelques informations claires sur ce qui se pas=
se
sur ma machine ? ;-)
Pascal
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
... et il y en avait au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine.
Est-ce que tu pourrais nous donner plus d'info sur ton architecture réseau : Quelle est ton adresse publique ? Est-ce que tu utilises un firewall ? Où est installé ton snort ? Et toutes informations qui nous permettrait d'essayer de trouver un solution
Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de l'installation (Debian/Sid). Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un rapport journalier que je ne consulte que très rarement.
Essaye de remettre à jour les régles de snort, tu peux utiliser le paquet oinkmaster. Super facile à utiliser . Puis tu redémarrares snort.
Et j'ai trouvé ces messages:
beaucoup beaucoup de ceux-là: 3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan
un nombre certain de ceux-ci: 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share access
et aussi des choses comme ça: 3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure 3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan
Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ?
Ce n'est pas sûr que ce soit des attaques, cela peut-etre des faux positifs. Pour vérifier : tu peux vérifier les noms et provenances des adresses sources et des adresses destinations des attaques. SI tu n'as pas de firewall tu en installes un puisque normalement on ne laisse pas d'accés vers des ports NEtbios en provenance d'internet. Tu sniffes le réseau pour voir exactement le type d'attaques et les commandes passés.
J'avoue ne pas comprendre ces messages, mais quand même, "overflow attempt" "(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pour me dire bonjour ?
Un coup de google sur le nom des attaques devrait t'en dire plus. http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any with same method
============================================================= > % # of from method
cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon adresses ? Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma machine des cibles qui ne sont pas moi m'étonne ?
Si quelqu'un peut me donner quelques informations claires sur ce qui se passe sur ma machine ? ;-)
On va essayer
Pascal
AC
Découvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages : http://fr.travel.yahoo.com/promotions/mar14.html
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
... et il y en avait au moins trois fois plus !
J'ai donc immédiatement stoppé samba qui tourne, qui
plus est, pour rien sur ma
machine.
Est-ce que tu pourrais nous donner plus d'info sur ton
architecture réseau :
Quelle est ton adresse publique ?
Est-ce que tu utilises un firewall ?
Où est installé ton snort ?
Et toutes informations qui nous permettrait d'essayer
de trouver un solution
Puis je suis allé voir du côté des messages de snort
dont j'ai simplement
installé les packages sans aucune configuration
particulière autre que celle
mise en place lors de l'installation (Debian/Sid).
Je ne connait pas du tout ce logiciel, mais il me
fournit tout de même un
rapport journalier que je ne consulte que très
rarement.
Essaye de remettre à jour les régles de snort, tu peux
utiliser le paquet oinkmaster. Super facile à utiliser
. Puis tu redémarrares snort.
Et j'ai trouvé ces messages:
beaucoup beaucoup de ceux-là:
3 82.67.5.141 82.67.66.131 (portscan) TCP
Portscan
un nombre certain de ceux-ci:
5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS
IPC$ unicode share access
et aussi des choses comme ça:
3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS
repeated logon failure
3 82.67.104.96 82.67.66.131 (portscan) TCP
Decoy Portscan
Donc, je ne rêve pas, on cherche à attenter à
l'intégrité de ma machine, non ?
Ce n'est pas sûr que ce soit des attaques, cela
peut-etre des faux positifs. Pour vérifier :
tu peux vérifier les noms et provenances des adresses
sources et des adresses destinations des attaques.
SI tu n'as pas de firewall tu en installes un puisque
normalement on ne laisse pas d'accés vers des ports
NEtbios en provenance d'internet.
Tu sniffes le réseau pour voir exactement le type
d'attaques et les commandes passés.
J'avoue ne pas comprendre ces messages, mais quand
même, "overflow attempt"
"(portscan) TCP Decoy Portscan" "repeated logon
failure", c'était pas pour me
dire bonjour ?
Un coup de google sur le nom des attaques devrait t'en
dire plus.
http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any
with same method
============================================================= > % # of from method
cette fois-ci, comment ce fait-il qu'il y ait
d'autres destinations que mon
adresses ?
Que je sois la cible d'une attaque, passe encore,
mais qu'il y ait sur ma
machine des cibles qui ne sont pas moi m'étonne ?
Si quelqu'un peut me donner quelques informations
claires sur ce qui se passe
sur ma machine ? ;-)
On va essayer
Pascal
AC
Découvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages :
http://fr.travel.yahoo.com/promotions/mar14.html
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
... et il y en avait au moins trois fois plus ! J'ai donc immédiatement stoppé samba qui tourne, qui plus est, pour rien sur ma machine.
Est-ce que tu pourrais nous donner plus d'info sur ton architecture réseau : Quelle est ton adresse publique ? Est-ce que tu utilises un firewall ? Où est installé ton snort ? Et toutes informations qui nous permettrait d'essayer de trouver un solution
Puis je suis allé voir du côté des messages de snort dont j'ai simplement installé les packages sans aucune configuration particulière autre que celle mise en place lors de l'installation (Debian/Sid). Je ne connait pas du tout ce logiciel, mais il me fournit tout de même un rapport journalier que je ne consulte que très rarement.
Essaye de remettre à jour les régles de snort, tu peux utiliser le paquet oinkmaster. Super facile à utiliser . Puis tu redémarrares snort.
Et j'ai trouvé ces messages:
beaucoup beaucoup de ceux-là: 3 82.67.5.141 82.67.66.131 (portscan) TCP Portscan
un nombre certain de ceux-ci: 5 82.67.137.65 82.67.66.131 NETBIOS SMB-DS IPC$ unicode share access
et aussi des choses comme ça: 3 82.67.66.131 82.67.212.105 NETBIOS SMB-DS repeated logon failure 3 82.67.104.96 82.67.66.131 (portscan) TCP Decoy Portscan
Donc, je ne rêve pas, on cherche à attenter à l'intégrité de ma machine, non ?
Ce n'est pas sûr que ce soit des attaques, cela peut-etre des faux positifs. Pour vérifier : tu peux vérifier les noms et provenances des adresses sources et des adresses destinations des attaques. SI tu n'as pas de firewall tu en installes un puisque normalement on ne laisse pas d'accés vers des ports NEtbios en provenance d'internet. Tu sniffes le réseau pour voir exactement le type d'attaques et les commandes passés.
J'avoue ne pas comprendre ces messages, mais quand même, "overflow attempt" "(portscan) TCP Decoy Portscan" "repeated logon failure", c'était pas pour me dire bonjour ?
Un coup de google sur le nom des attaques devrait t'en dire plus. http://www.snort.org/pub-bin/sigs-search.cgi?sid=overflow+attempt
Ensuite, une autre chose m'intrigue beaucoup:
Percentage and number of events from one host to any with same method
============================================================= > % # of from method
cette fois-ci, comment ce fait-il qu'il y ait d'autres destinations que mon adresses ? Que je sois la cible d'une attaque, passe encore, mais qu'il y ait sur ma machine des cibles qui ne sont pas moi m'étonne ?
Si quelqu'un peut me donner quelques informations claires sur ce qui se passe sur ma machine ? ;-)
On va essayer
Pascal
AC
Découvrez nos promotions exclusives "destination de la Tunisie, du Maroc, des Baléares et la Rép. Dominicaine sur Yahoo! Voyages : http://fr.travel.yahoo.com/promotions/mar14.html
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
