Sécurité ?

[snip]

Ah ? Chez moi, il ne sert qu'à filtrer les mails sur mon serveur
après la batterie d'antispams divers et variés. Et bizarrement, il
ne récolte presque rien. De là à dire que virus et spam proviennent
des mêmes sources... À ce propos, je viens de découvrir un truc
rigolo : mon MX renvoie une chaîne avec un retour chariot, ce qui
est conforme aux RFC, mais perturbe énormément les générateurs de
spam ;-)

Oui, c'est d'ailleurs sur les spécifications peu connues des RFCs que
les antispams se basent aujourd'hui, comme le 445 temporary failure.

Me dis pas que tu es avec ton Windows là, car tu postes avec Knode.

A ce rythme là moi je posterais avec Thunderbird. C'est un débat su r les
avantages des lecteurs de news ?

slrn rulaise !

Pas mieux (mais la je ne suis pas avec une IP de mon FAI, qui
m'empêche de poster d'une adresse extérieure à son réseau, alors
pas taper).

--
Laurent C.

Laurent a émis l'idée suivante :

J'utilise mon ordinateur sans aucune protection de firewall, et c'est
sois-disnt peu sûre, ca me fait rigoler....

Arrivez-vous à rentrer dans mon système ?

Ben, vu que tu es sous Linux, et qui plus est une OpenSuse 10.2 (donc
très récent), ça risque d'être assez difficile.
Essaie la même chose avec ton WinXP SP2, tu va rigoler, en voyant ton
antivirus stoppper 3 virus/minutes.

Me dis pas que tu es avec ton Windows là, car tu postes avec Knode.

ALors, résultat des courses...

89.217.132.144 INGRID
89.217.143.171 NOME-R2TBPUJUQY
89.217.53.24 NATURALEX
89.217.4.47 DUDE

Toutes ces IP sont sur le même réseau que toi 89.217.xxx.xxx, ce qui
correspond bien à l'attitude de vers lancé depuis des postes
vérolés. Bref pour l'instant ce ne sont pas des attaques ciblées
(d'ailleurs m'étonnerait que quelqu'un ai quelquechose à foutre de
ton Windows branché sur le net), mais plutôt des Sasser ou autres
exploitant une faille corrigée depuis heureusement très longtemps.

Franchement, si ces vers étaient passés, il aurait vraiment fallu
aller te cacher.

Voilà, pas mal d'attaqus, surtout de INGRID qui s'acharne.

Mais toujours personne n'a cassé le Windows, ni n'est rentré dedans.

Bah peux-tu en être vraiment sûr ?

L'antivirus ? c'est basé sur des signatures, et attaque ne veut pas
obligatoiremeent dire virus.

Ton Windows est patché ? c'est très bien, mais si un 0-day est
employé dans un nouveau vers aujourd'hui, et que tu te le prend, ce
sera trop tard. C'est ce qui est arrivé aux victimes de Blaster à
l'époque, ce n'était pas un 0-day, mais le ver s'est propagé *avant*
le patch de microsoft. Et bizarrement le pc familial à l'époque ne
l'a pas eu car, devine quoi, j'avais filtré les ports 165 138 445, et
oui un firwall sa sert, et est devenu indispensable sur le net
aujourd'hui.


Alors rigole tant que tu veux, mais avec un OS protégé des attaques
potentielles.
Tu ne sera pas toujours devant ton PC la nuit quand le prochain ver,
basé sur une faille non-corrigée de ton OS, se fera une place
douillette pour relayer l'attaque vers des potes à toi, peut-être
encore moins protégés.

On est pas seuls sur le net.

--
Laurent C.

Olivier wrote:

J'utilise mon ordinateur sans aucune protection de firewall, et c'est
sois-disnt peu sûre, ca me fait rigoler....

Arrivez-vous à rentrer dans mon système ?

Olivier

Juste une question bete. Est-ce que tu es derriere un routeur? Peut etre que
celui-ci a un firewall intégré...

Emmanuel

Olivier wrote:

Doug713705 vient de nous annoncer :

Le jeudi 18 janvier 2007 22:38, Olivier s'est exprimé de la sorte sur
fr.comp.os.linux.debats :

Arrivez-vous à rentrer dans mon système ?

Laisse le connecté au net et donne nous ton IP, on essaiera.

Vas-y, j'ai débranché le firewall ;>))

Voila le resultat d'un scan avec nmap

kdesu -n /usr/bin/nmap -T Normal -F -O -v 89.217.159.117

/tmp/kde-Emmanuel/knmap_stderr_1489544939
2> /tmp/kde-Emmanuel/knmap_stderr_1399442501

Starting Nmap 4.20 ( http://insecure.org ) at 2007-01-19 12:06 GMT
Initiating Parallel DNS resolution of 1 host. at 12:06
Completed Parallel DNS resolution of 1 host. at 12:06, 4.04s elapsed
Initiating SYN Stealth Scan at 12:06
Scanning adsl-89-217-159-117.adslplus.ch (89.217.159.117) [1256 ports]
Discovered open port 3389/tcp on 89.217.159.117
Discovered open port 135/tcp on 89.217.159.117
Discovered open port 445/tcp on 89.217.159.117
Discovered open port 1031/tcp on 89.217.159.117
Discovered open port 139/tcp on 89.217.159.117
Completed SYN Stealth Scan at 12:07, 12.40s elapsed (1256 total ports)
Initiating OS detection (try #1) against adsl-89-217-159-117.adslplus.ch
(89.217.159.117)
Retrying OS detection (try #2) against adsl-89-217-159-117.adslplus.ch
(89.217.159.117)
Initiating gen1 OS Detection against 89.217.159.117 at 21.434s
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
Host adsl-89-217-159-117.adslplus.ch (89.217.159.117) appears to be up ...
good.
Interesting ports on adsl-89-217-159-117.adslplus.ch (89.217.159.117):
Not shown: 1250 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
520/tcp filtered efs
1031/tcp open iad2
3389/tcp open ms-term-serv
Device type: general purpose
Running (JUST GUESSING) : Microsoft Windows 95/98/ME|NT/2K/XP (87%)
Aggressive OS guesses: Microsoft Windows Millennium Edition (Me), Windows
2000 Professional or Advanced Server, or Windows XP (87%), Microsoft
Windows NT 3.51 SP5, NT 4.0 or 95/98/98SE (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 16 hops
TCP Sequence Prediction: Difficulty=0 (Trivial joke)
IPID Sequence Generation: Incremental

OS detection performed. Please report any incorrect results at
http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 30.913 seconds
Raw packets sent: 1588 (73.956KB) | Rcvd: 1308 (54.108KB)

JKB avait prétendu :

Le 19-01-2007, à propos de
Re: Sécurité ?,
Olivier écrivait dans fr.comp.os.linux.debats :

Emmanuel Durand avait écrit le 19.01.2007 :

Olivier wrote:

J'utilise mon ordinateur sans aucune protection de firewall, et c'est
sois-disnt peu sûre, ca me fait rigoler....

Arrivez-vous à rentrer dans mon système ?
Olivier

Juste une question bete. Est-ce que tu es derriere un routeur? Peut etre
que celui-ci a un firewall intégré...

Emmanuel

non, c'est une machine sans aucunr protection

Donne un petit peu ton adresse IP qu'on fasse un nmap -P0 dessus pour
rigoler...

C'est la même que celle qui est affichée dans ton lecteur de news ;>))

Emmanuel Durand avait soumis l'idée :

Olivier wrote:

Doug713705 vient de nous annoncer :

Le jeudi 18 janvier 2007 22:38, Olivier s'est exprimé de la sorte sur
fr.comp.os.linux.debats :

Arrivez-vous à rentrer dans mon système ?

Laisse le connecté au net et donne nous ton IP, on essaiera.

Vas-y, j'ai débranché le firewall ;>))

Voila le resultat d'un scan avec nmap

kdesu -n /usr/bin/nmap -T Normal -F -O -v 89.217.159.117

/tmp/kde-Emmanuel/knmap_stderr_1489544939
2> /tmp/kde-Emmanuel/knmap_stderr_1399442501

Starting Nmap 4.20 ( http://insecure.org ) at 2007-01-19 12:06 GMT
Initiating Parallel DNS resolution of 1 host. at 12:06
Completed Parallel DNS resolution of 1 host. at 12:06, 4.04s elapsed
Initiating SYN Stealth Scan at 12:06
Scanning adsl-89-217-159-117.adslplus.ch (89.217.159.117) [1256 ports]
Discovered open port 3389/tcp on 89.217.159.117
Discovered open port 135/tcp on 89.217.159.117
Discovered open port 445/tcp on 89.217.159.117
Discovered open port 1031/tcp on 89.217.159.117
Discovered open port 139/tcp on 89.217.159.117
Completed SYN Stealth Scan at 12:07, 12.40s elapsed (1256 total ports)
Initiating OS detection (try #1) against adsl-89-217-159-117.adslplus.ch
(89.217.159.117)
Retrying OS detection (try #2) against adsl-89-217-159-117.adslplus.ch
(89.217.159.117)
Initiating gen1 OS Detection against 89.217.159.117 at 21.434s
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
For OSScan assuming port 135 is open, 1 is closed, and neither are
firewalled
Host adsl-89-217-159-117.adslplus.ch (89.217.159.117) appears to be up ...
good.
Interesting ports on adsl-89-217-159-117.adslplus.ch (89.217.159.117):
Not shown: 1250 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
520/tcp filtered efs
1031/tcp open iad2
3389/tcp open ms-term-serv
Device type: general purpose
Running (JUST GUESSING) : Microsoft Windows 95/98/ME|NT/2K/XP (87%)
Aggressive OS guesses: Microsoft Windows Millennium Edition (Me), Windows
2000 Professional or Advanced Server, or Windows XP (87%), Microsoft
Windows NT 3.51 SP5, NT 4.0 or 95/98/98SE (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 16 hops
TCP Sequence Prediction: Difficulty=0 (Trivial joke)
IPID Sequence Generation: Incremental

OS detection performed. Please report any incorrect results at
http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 30.913 seconds
Raw packets sent: 1588 (73.956KB) | Rcvd: 1308 (54.108KB)

Ouaip c'est bien mon win2k3

La seule tentative d'ouverture de session que vois dans les logs c'est

MINHKY-ZY4G7ZP4 89.217.141.197

C'est normal que je ne te vois pas dans la mesure ou NMAP effectue un
SYN Stealth Scan

Mes essais ont montrés que plusieurs mois sans firewall, ca tient très
bien.

Evidemment, il ne s'agit que d'un environnement de tests ;>))


Olivier

Laurent wrote:

Alors rigole tant que tu veux, mais avec un OS protégé des attaques
potentielles.
Tu ne sera pas toujours devant ton PC la nuit quand le prochain ver,
basé sur une faille non-corrigée de ton OS, se fera une place
douillette pour relayer l'attaque vers des potes à toi, peut-être
encore moins protégés.

Le truc que tu as l'air d'oublier, c'est que le problème est exactement
le même pour Linux.

Laurent wrote:

Alors rigole tant que tu veux, mais avec un OS protégé des attaques
potentielles.
Tu ne sera pas toujours devant ton PC la nuit quand le prochain ver,
basé sur une faille non-corrigée de ton OS, se fera une place
douillette pour relayer l'attaque vers des potes à toi, peut-être
encore moins protégés.

Le truc que tu as l'air d'oublier, c'est que le problème est exactement
le même pour Linux.

Ou est-ce que tu vois le mot "Windows" dans ce que tu as quoté. J'ai
mis OS justement pour parler de manière globale. Alors merci du
conseil, je vais de ce pas, et grâce à toi, mettre une deuxième
passerelle OpenBSD sur mon LAN.

--
Laurent C.

Ouaip c'est bien mon win2k3

La seule tentative d'ouverture de session que vois dans les logs c'est

MINHKY-ZY4G7ZP4 89.217.141.197

C'est normal que je ne te vois pas dans la mesure ou NMAP effectue un
SYN Stealth Scan

Avec de vrai logs d'un vrai firewall, tu aurais les entrées
correspondantes, te permettant de tracer plus efficacement qui fait
joujou avec nmap (dans la mseure ou l'IP source n'est pas forgée).

Mes essais ont montrés que plusieurs mois sans firewall, ca tient très
bien.

Evidemment, il ne s'agit que d'un environnement de tests ;>))

C'est prendre de bien grands risques pour peu de gloire tout de même.

--
Laurent C.

Laurent wrote:

Laurent wrote:

Alors rigole tant que tu veux, mais avec un OS protégé des attaques
potentielles.
Tu ne sera pas toujours devant ton PC la nuit quand le prochain ver,
basé sur une faille non-corrigée de ton OS, se fera une place
douillette pour relayer l'attaque vers des potes à toi, peut-être
encore moins protégés.
Le truc que tu as l'air d'oublier, c'est que le problème est exactement

le même pour Linux.

Ou est-ce que tu vois le mot "Windows" dans ce que tu as quoté. J'ai
mis OS justement pour parler de manière globale. Alors merci du
conseil, je vais de ce pas, et grâce à toi, mettre une deuxième
passerelle OpenBSD sur mon LAN.

Tu dis surtout "ton OS", le "ton" se rapportant bien à windows. Je crois
que tu es de mauvaise foi.