Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Le Mercredi 26 Septembre 2001 20:26, Didier NOACK scribit : > J'ai lancé "swatch" et il me répond : > ***swatch 2.2 (pid:6645) started at mer sep etc ... > > /usr/bin/tail: /var/log/syslog: Aucun fichier ou répertoire de ce type > /usr/bin/tail: Aucun fichier restant [root@bastard linux]# whereis tail tail: /usr/bin/tail /usr/share/man/man1/tail.1.bz2 [root@bastard linux]# urpmf /usr/bin/tail textutils:/usr/bin/tail apmd:/usr/bin/tailf [root@bastard linux]# urpmf logrotate.d/syslog sysklogd:/etc/logrotate.d/syslog donc il faudrait installer textutils et sysklogd et lancer le démon syslog > J'ai bien trouvé un fichier syslog.conf-client ou master ou server > mais; D'une part c'est des fichiers textes (alors servent-ils > seulement d'exemples) et d'autres part ils contiennent des trucs que > j'ose pas trop appliquer sans vos conseils !! ce sont des fichiers de log > Si quelqu'un pouvait m'indiquer quelques points pour réaliser le > script idoine pour être protégé des attaques du web ou me dire comment > lancer (après modifs éventuelles) le ou les fichiers syslog.conf cités > plus haut, car j'avoue que là, je plane très haut et surtout, je > voudrais pas faire de c.ies. rien n'est parfait. tu mets en place ton firewall tu peux utiliser portsentry pour détecter les scan et eventuellement bloquéer les ip qui feraient le scan tu peux utiliser prelud pour vérifier l'intégrité des principaux fichiers de ton système. -- http://perso.wanadoo.fr/linux_wizard/index.html - On ne prends pas d'auto-stoppeur sur l'autoroute de l'information. MR Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Salut Yann-Erick, >> Merci pour ton info et exemple de réelle tentative d'attaque, mais tu >> là détecte comment, au moment ou elle se produit ?? >> T'as un feu rouge qui s'allume, un message d'alerte, la fumée qui sort >> des H.P. ??? --o)) >> Ca serait sympa d'avoir un truc qui s'affiche automatiquement en cas >> d'attaque réelle !! >> Quelqu'un saurait faire ? > >H... swatch est ton ami... ;-) Ami ??? pas sur !! > ># man swatch Fait > >puis : > ># man 5 swatch Fait aussi !! > > >Amicalement, > >Yann > >PS: pour la fumée, ça va quand même nécessiter un peu de bricolage... Tout compte fait, je suis sur que j'aurais réussi à faire fumer mes HP plus rapidement que les paramètrages de swatch !! J'ai téléchargé swatch-2.2-3.noarch.rpm et l'ai installé. J'ai renommé swatchrc.personnal en .swatchrc et l'ai mis dans mon home J'ai lancé "swatch" et il me répond : ***swatch 2.2 (pid:6645) started at mer sep etc ... /usr/bin/tail: /var/log/syslog: Aucun fichier ou répertoire de ce type /usr/bin/tail: Aucun fichier restant J'ai bien trouvé un fichier syslog.conf-client ou master ou server mais; D'une part c'est des fichiers textes (alors servent-ils seulement d'exemples) et d'autres part ils contiennent des trucs que j'ose pas trop appliquer sans vos conseils !! Si quelqu'un pouvait m'indiquer quelques points pour réaliser le script idoine pour être protégé des attaques du web ou me dire comment lancer (après modifs éventuelles) le ou les fichiers syslog.conf cités plus haut, car j'avoue que là, je plane très haut et surtout, je voudrais pas faire de c.ies. Merci de votre aide, Cordialement -- = D i d i e r N o a c k48°46'50N 7°48'31E Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
tiens tiens cela ressemble à du Nimda http://solutions.journaldunet.com/0109/010925_nimda.shtml Bien à vous Philippe http://www.devparadise.com/ - Original Message - From: "Olivier Thauvin" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Wednesday, September 26, 2001 11:05 AM Subject: Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire > Tu aura toujours plein de tentatives de connexion, voulues ou non, le mieux est limiter tes log avec iptables, même sur le réseau interne j'ai des rejets parce qu'un soft tente tout un broadcast. > Alors oui tu est parano, mais c'est qu'un admin système doit être un temps soit peu parano mais voici une vrai tentative d'attaque: > > [root@andromede olivier]# host andromede > andromede.x.x.fr. has address 134.157.x.x > [root@andromede olivier]# grep default.ida /var/log/httpd/acc > access_logaccess_log.1 access_log.2 access_log.3 access_log.4 access_log.5 > [root@andromede olivier]# grep default.ida /var/log/httpd/access_log > 209.225.6.135 - - [04/Sep/2001:12:41:21 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:45:17 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:48:50 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 209.225.6.135 - - [04/Sep/2001:12:49:03 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 61.75.50.58 - - [04/Sep/2001:13:33:40 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 134.157.x.x - - [04/Sep/2001:16:46:15 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > 134.157.x.x - - [04/Sep/2001:17:02:17 +0200] "GET /default.ida?XXX X%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > > Vous aurez reconnu code red, vous verez aussi que certaines machine du réseau (hors de notre service, nous n'avons pas de NT) tente de pirater mon apache. > > Le Mercredi 26 Septembre 2001 00:03, vous avez écrit : > > >>Bordel çà continue > > >> > > >>Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano > > >> ? Mon adresse ppp0 était 217.128.242.xxx &
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
> Merci pour ton info et exemple de réelle tentative d'attaque, mais tu > là détecte comment, au moment ou elle se produit ?? > T'as un feu rouge qui s'allume, un message d'alerte, la fumée qui sort > des H.P. ??? --o)) > Ca serait sympa d'avoir un truc qui s'affiche automatiquement en cas > d'attaque réelle !! > Quelqu'un saurait faire ? H... swatch est ton ami... ;-) # man swatch puis : # man 5 swatch Amicalement, Yann PS: pour la fumée, ça va quand même nécessiter un peu de bricolage... -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Salut Olivier, Merci pour ton info et exemple de réelle tentative d'attaque, mais tu là détecte comment, au moment ou elle se produit ?? T'as un feu rouge qui s'allume, un message d'alerte, la fumée qui sort des H.P. ??? --o)) Ca serait sympa d'avoir un truc qui s'affiche automatiquement en cas d'attaque réelle !! Quelqu'un saurait faire ? Une idée ? Cordialement -- = D i d i e r N o a c k48°46'50N 7°48'31E >Tu aura toujours plein de tentatives de connexion, voulues ou non, le mieux est limiter tes log avec iptables, même sur le réseau interne j'ai des rejets parce qu'un soft tente tout un broadcast. >Alors oui tu est parano, mais c'est qu'un admin système doit être un temps soit peu parano mais voici une vrai tentative d'attaque: > >[root@andromede olivier]# host andromede >andromede.x.x.fr. has address 134.157.x.x >[root@andromede olivier]# grep default.ida /var/log/httpd/acc >access_logaccess_log.1 access_log.2 access_log.3 access_log.4 access_log.5 >[root@andromede olivier]# grep default.ida /var/log/httpd/access_log >209.225.6.135 - - [04/Sep/2001:12:41:21 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >209.225.6.135 - - [04/Sep/2001:12:45:17 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >209.225.6.135 - - [04/Sep/2001:12:48:50 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >209.225.6.135 - - [04/Sep/2001:12:49:03 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >61.75.50.58 - - [04/Sep/2001:13:33:40 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >134.157.x.x - - [04/Sep/2001:16:46:15 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" >134.157.x.x - - [04/Sep/2001:17:02:17 +0200] "GET /default.ida?%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u%u00=a HTTP/1.0" 404 310 "-" "-" > >Vous aurez reconnu code red, vous verez aussi que certaines machine du réseau (hors de notre service, nous n'avons pas de NT) tente de pirater mon apache. > Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
En réponse à José HERBRECHT <[EMAIL PROTECTED]>: > Moi c'était d'autres adresses : 209.81.60.140, 202.103.25.139 et > 217.128.160.102. > > Mais à chaque fois que je lançai un connexion sur ces serveurs c'est une > page de présentation de base d'un serveur Apache que j'obtenai. Cette > page qui apparaît par défaut lorsqu'on lance pour la première fois > Apache. > > Or le coup du Code Red agressant ton ptit serveur HTTP, je crois que çà Code red utilise du spoofing. Donc l'IP de provenance de la requete n'est pas du tout significative. > ne marche que sur Windaub et son IIS. Donc à part des message type " > HTTP 400 Bad Request" on devrai rien craindre ! (?) 404 NOT FOUND -- H.Lefebvre [EMAIL PROTECTED] http://www.linuxfrench.net LINUX : Ne jetez plus votre argent par les fenêtres ! Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
> Bonjour, > > Pour info : > > Curieusement depuis +jours je detecte aussi des tentatives d'intrusions, > les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne s'agit > pas d'un ping > mais bien de recherches http de fichiers windows. > > A suivre... > > Guy > > Moi c'était d'autres adresses : 209.81.60.140, 202.103.25.139 et 217.128.160.102. Mais à chaque fois que je lançai un connexion sur ces serveurs c'est une page de présentation de base d'un serveur Apache que j'obtenai. Cette page qui apparaît par défaut lorsqu'on lance pour la première fois Apache. Or le coup du Code Red agressant ton ptit serveur HTTP, je crois que çà ne marche que sur Windaub et son IIS. Donc à part des message type " HTTP 400 Bad Request" on devrai rien craindre ! (?) A part celà quelqu'un a-t-il reussit à faire marcher InteractiveBastille 1.2.0-2mdk sur MDK 8.1 rc1 en mode console (Interface Curses et pas TK !) ou y a-t-il un bug dans la version Curses càd que la version TK fonctionne. Pour info le PC où est installé MDK 8.1 rc 1 ne dispose pas d'interface graphique --> Pas possibilité d'utiliser TK ! A+ José Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Bastille, c quoi ? comment cela se presente-t-il ? Comment l'installe-t-on ? si vous avez un site web a me donner ...? Alain Le Mercredi 26 Septembre 2001 12:10, vous avez ?rit : > > Bonjour, > > Pour info : > > Curieusement depuis +jours je detecte aussi des tentatives d'intrusions, > les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne s'agit > pas d'un ping > mais bien de recherches http de fichiers windows. > > A suivre... > > Guy > > > -Original Message- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED]]On Behalf Of jose HERBRECHT > Sent: Tuesday, September 25, 2001 7:47 PM > To: Mandrake Confirme; [EMAIL PROTECTED] > Subject: RE: [Confirme] Message d'audite - Est-on entrain de me scanner > ou pire > > Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit : > > En effet InteractiveBastille ne marche pas sur cette version de Mandrake > > sous prétexte que la version de la distribution n?est pas supportée. Ce > > qui > > > fait que certains services ou restrictions mises normalement en place par > > les sript de Bastille n'ont pas été réalisé. > > > >dl les derniers rpm cooker ( http://fr.rpmfind.net ), le pb est corrigé. > >je ne pense pas que tu ai grand choses à craindre.> > > J'arrive pas à ouvrir de seesion avec le broser sur un serveur FTP conteant > le cooker sur ma machine win$ > Alors j'ai ouvert une session en mode terminal sur mon serveur linux, j'ai > téléchargé > - Bastille-1.2.0-2mdk > - Bastille-Curses-modules-1.2.0-2mdk > - Bastille-Chooser-1.2.0-2mdk (sait pas à quoi çà sert maais bon c'est > insatllé) > > J'ai fait un jolie "rpm -Uvh Bastille*". J'ai lancé InteractiveBastille > .. > Et la toujours le même message !!! : > "This dsitribution version is not yet supported ! > Compilation failed in require at /usr/sbin/InteractiveBastille line 256" > > et que contient cette ligne ? : > > "require Bastille::API;" Et une idée pour rendre heureux ce petit script > récalcitrant ? > Y a-t-il une version encore plus récente de Bastille? > > >Pour voir les process qui accèdes à tes ports : > >[]$ lsof -i > > > >mais bon c'est juste un ping > > > >je me demande si ce n'est pas le serveur DNS de ton FAI ... > > C'est wanadoo 193.252.19.3 et 193.252.19.4 or ici il s'agit d'une adresse > en 80.11.xxx.xxx. Donc je pense pas > > >Pour vérifier les règles du firewall : > >[]$ iptables -L > >ou > >[]$ service bastille-firewall status > > Les Régles de Bastille sont bien lancée. Content-Type: text/plain; charset="iso-8859-15"; name="message.footer" Content-Transfer-Encoding: 8bit Content-Description: -- Alain Siani Great Northern International Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
En réponse à De Leeuw Guy <[EMAIL PROTECTED]>: > Bonjour, > > Pour info : > > Curieusement depuis +jours je detecte aussi des tentatives > d'intrusions, > les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne > s'agit > pas d'un ping > mais bien de recherches http de fichiers windows. Probablement de toutes betes attaques provenant de serveurs web infectés par Code Rouge ou une de ses variantes. En ce qui me concerne, j'ai a peu près 3 attaques par minute de Code Rouge vX.X -- H.Lefebvre [EMAIL PROTECTED] http://www.linuxfrench.net LINUX : Ne jetez plus votre argent par les fenêtres ! Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Bonjour, Pour info : Curieusement depuis +jours je detecte aussi des tentatives d'intrusions, les adresses ip sont 200.10.106.11 et 212.188.96.149 cependant il ne s'agit pas d'un ping mais bien de recherches http de fichiers windows. A suivre... Guy -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]On Behalf Of jose HERBRECHT Sent: Tuesday, September 25, 2001 7:47 PM To: Mandrake Confirme; [EMAIL PROTECTED] Subject: RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit : > En effet InteractiveBastille ne marche pas sur cette version de Mandrake > sous prétexte que la version de la distribution n?est pas supportée. Ce qui > fait que certains services ou restrictions mises normalement en place par > les sript de Bastille n'ont pas été réalisé. > >dl les derniers rpm cooker ( http://fr.rpmfind.net ), le pb est corrigé. >je ne pense pas que tu ai grand choses à craindre.> J'arrive pas à ouvrir de seesion avec le broser sur un serveur FTP conteant le cooker sur ma machine win$ Alors j'ai ouvert une session en mode terminal sur mon serveur linux, j'ai téléchargé - Bastille-1.2.0-2mdk - Bastille-Curses-modules-1.2.0-2mdk - Bastille-Chooser-1.2.0-2mdk (sait pas à quoi çà sert maais bon c'est insatllé) J'ai fait un jolie "rpm -Uvh Bastille*". J'ai lancé InteractiveBastille . Et la toujours le même message !!! : "This dsitribution version is not yet supported ! Compilation failed in require at /usr/sbin/InteractiveBastille line 256" et que contient cette ligne ? : "require Bastille::API;" Et une idée pour rendre heureux ce petit script récalcitrant ? Y a-t-il une version encore plus récente de Bastille? >Pour voir les process qui accèdes à tes ports : >[]$ lsof -i > >mais bon c'est juste un ping > >je me demande si ce n'est pas le serveur DNS de ton FAI ... C'est wanadoo 193.252.19.3 et 193.252.19.4 or ici il s'agit d'une adresse en 80.11.xxx.xxx. Donc je pense pas >Pour vérifier les règles du firewall : >[]$ iptables -L >ou >[]$ service bastille-firewall status Les Régles de Bastille sont bien lancée. Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Merci à tous, Je vais arrêter la parano. En regardant dans iptables il y a des entrées qui génère ces auditIn pour signaler l'arrivée de paquets qui "peuvent être suspect" mais qui le sont pas toujours :-) José HERBRECHT Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
> >Bordel çà continue > >Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano ? >Mon adresse ppp0 était 217.128.242.xxx > > >1er Audit : >auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx >LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=47603 DF PROTO=TCP SPT=3086 >DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 > >2eme Audit : >auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx >LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=49173 DF PROTO=TCP SPT=3086 >DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 > >Ok la différence c'est l'ID (du paquet ?) et la WINDOW (fenêtre >d'anticipation ?) > >En gros, est-ce que je m'inquiète encore de trop ou y-a-t-il matière à >s'inquiéter ? > >Ou pourrai-je trouver les infos nécessaires au décryptage de ces paquets >(type, cause, >source d'inquiétude ou non, ) > > >Merci > >José HERBRECHT >(Le parano ?) Je viens de lancer une session http://209.81.60.xxx sur l'adresse et y a un serveur Apache qui tourne. Est-ce que cette personne ne serai pas entrain de tester son serveur :-) ? Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
RE: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Bordel çà continue Encore de nouveau audit et cette fois c'est pas du ping ! Suis-je parano ? Mon adresse ppp0 était 217.128.242.xxx 1er Audit : auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=47603 DF PROTO=TCP SPT=3086 DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 2eme Audit : auditIN=ppp0 OUT= MAC= SRC=209.81.60.xxx DST=217.128.242.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=49173 DF PROTO=TCP SPT=3086 DPT=111 WINDOW=32120 RES=0x00 SYN URGP=0 Ok la différence c'est l'ID (du paquet ?) et la WINDOW (fenêtre d'anticipation ?) En gros, est-ce que je m'inquiète encore de trop ou y-a-t-il matière à s'inquiéter ? Ou pourrai-je trouver les infos nécessaires au décryptage de ces paquets (type, cause, source d'inquiétude ou non, ) Merci José HERBRECHT (Le parano ?) Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Le Mardi 25 Septembre 2001 19:47, vous avez écrit : > >dl les derniers rpm cooker ( http://fr.rpmfind.net ), le pb est corrigé. > >je ne pense pas que tu ai grand choses à craindre.> > > J'arrive pas à ouvrir de seesion avec le broser sur un serveur FTP conteant > le cooker sur ma machine win$ > Alors j'ai ouvert une session en mode terminal sur mon serveur linux, j'ai > téléchargé > - Bastille-1.2.0-2mdk > - Bastille-Curses-modules-1.2.0-2mdk > - Bastille-Chooser-1.2.0-2mdk (sait pas à quoi çà sert maais bon c'est > insatllé) > > J'ai fait un jolie "rpm -Uvh Bastille*". J'ai lancé InteractiveBastille > > Et la toujours le même message !!! : > "This dsitribution version is not yet supported ! > Compilation failed in require at /usr/sbin/InteractiveBastille line 256" > > et que contient cette ligne ? : > > "require Bastille::API;" Et une idée pour rendre heureux ce petit script > récalcitrant ? > Y a-t-il une version encore plus récente de Bastille? [root@bastard linux]# rpm -qa | grep Bastille Bastille-1.2.0-2mdk Bastille-Tk-module-1.2.0-2mdk [root@bastard linux]# InteractiveBastille Using Tk user interface module. Only displaying questions relevant to the current configuration. Existing config file found. Populating answers... Tu as oublié Bastille-Tk-module ( InteractiveBastille utilise une interface tk ) Si ce n'est pas cela, alors je dois avouer que je sèche un peu. > Les Régles de Bastille sont bien lancée. tant mieux -- http://perso.wanadoo.fr/linux_wizard/index.html - Il y a beaucoup de choses que nous aimerions jeter si nous n'avions pas peur que d'autres les ramassent. Oscar Wilde Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Le Mardi 25 Septembre 2001 18:08, jose HERBRECHT scribit : > En effet InteractiveBastille ne marche pas sur cette version de Mandrake > sous prétexte que la version de la distribution nest pas supportée. Ce qui > fait que certains services ou restrictions mises normalement en place par > les sript de Bastille n'ont pas été réalisé. dl les derniers rpm cooker ( http://fr.rpmfind.net ), le pb est corrigé. je ne pense pas que tu ai grand choses à craindre. Pour voir les process qui accèdes à tes ports : []$ lsof -i mais bon c'est juste un ping je me demande si ce n'est pas le serveur DNS de ton FAI ... Pour vérifier les règles du firewall : []$ iptables -L ou []$ service bastille-firewall status -- http://perso.wanadoo.fr/linux_wizard/index.html - Enfin Malherbe vint, et, le premier en France, Fit sentir dans les vers une juste cadence. Nicholas Boileau-Despreaux: L'Art poétique Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
Re: [Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
jose HERBRECHT wrote: >auditIN=ppp0 OUT= MAC= SRC=80.11.xxx.xxx DEST=217.xxx.xxx.xxx LEN=36 >TOS=0x00 PREC=0x00 TTL=120 ID=17405 PROTO=ICMP TYPE=0 CODE=0 ID=768 SEQ= 4 > je ne sais ce qu'est l'audit sur mandrake mais là apparemment c'est la réponse d'un ping cf PROTO=ICMP TYPE=0 CODE=0 as tu essayes un ping du 80.11.xxx.xxx pr savoir qui t'envoyes ce paquet icmp ? -- @@le_sage@@ Association Lyonnaise pour le developpement de l'informatique libre : http://www.aldil.org Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
[Confirme] Message d'audite - Est-on entrain de me scanner ou pire !!!!
Hello, J'ai installé une MDK 8.1 rc1 avec un firewall basé sur Bastille (qui à nécessité un peu de bidouille) J'arrêta pas de recevoir un message d'audit : auditIN=ppp0 OUT= MAC= SRC=80.11.xxx.xxx DEST=217.xxx.xxx.xxx LEN=36 TOS=0x00 PREC=0x00 TTL=120 ID=17405 PROTO=ICMP TYPE=0 CODE=0 ID=768 SEQ= 4 Serrai-je entrain de me faires scanner ? Ou pire quelqu'un est-il entrain d'ouvrir une brèche dans mon Système Merci José HERBRECHT Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
