curiosité de la detection d'intrusion sur 2.0....

[KIKIKIKI]

Bonjour a tous, je suis nouveau dans ce forum ainsi qu'en informatique.....

Mes début sont difficile mais je tient a comprendre ce que je fais aussi après avoir installé la 2.0 sur un pc dédié plus quelques jours j'obtiens dans le journal des intrusions ceci:

Date: 03/16 01:36:27 Name: MS-SQL Worm propagation attempt
Priority: 2 Type: Misc Attack
IP info: 196.206.36.194:4474 -> 82.monip:1434
References: 1 2 3

là je peut comprendre mais après ceci:

Date: 03/16 08:48:39 Name: (http_inspect) OVERSIZE CHUNK ENCODING
Priority: n/a Type: n/a
IP info: 82.monip:41076 -> 80.239.199.15:80
References: none found

je suis perdu, mon pc attaque d'autre pc ? ou alors cela a une autre explication .

merci d'avance
kiki

[KIKIKIKI]

Je précise que je poste ce message juste avant d'aller au boulot....donc je prendrais note de vos réponses ce soir
merci

kiki

[KIKIKIKI]

Bon me revoilà..... si toutefois quelqu'un peut m'aider se serais un grand pas pour moi.....

kiki

[KIKIKIKI]

Bon ....j'ai regardé un peu sur le forum et il semblerai que mon pc soit victime d'une intrusion mais je ne voudrais pas me tromper....Comment etre sur...

voila ce que j'obtien avec whois de ip :80.239.199.15
80.239.199.15 (www.smartmovies.net)

BW whois 2.9 by Bill Weinman (http://whois.bw.org/)
Copyright 1999-2001 William E. Weinman
Request: 80.239.199.15
connecting to whois.arin.net [192.149.252.44:43] ...
connecting to whois.ripe.net [193.0.0.135:43] ...
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-propo ... 50331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '80.239.199.0 - 80.239.199.63'

inetnum: 80.239.199.0 - 80.239.199.63
netname: NL-MENTEL
descr: Mentel MultiMedia Inc.
org: ORG-MMI3-RIPE
country: NL
admin-c: MH429-RIPE
tech-c: MH429-RIPE
status: ASSIGNED PA
mnt-by: TELIANET-LIR
source: RIPE # Filtered

organisation: ORG-MMI3-RIPE
org-name: Mentel MultiMedia Inc.
org-type: OTHER
descr: Mentel MultiMedia
address: 6050 Bould. Des Grandes Prairres
address: H1P1A2 Montreal
address: Canada
phone: +15143213767
e-mail: matt@mentel.com
admin-c: MH429-RIPE
tech-c: MH429-RIPE
mnt-by: TELIANET-LIR
mnt-ref: TELIANET-LIR
source: RIPE # Filtered

person: Matt Heler
address: Mentel MultiMedia Inc.
address: 6050 Bould. Des Grandes Prairres
address: H1P1A2 Montreal
address: SE
phone: +15143213767
e-mail: matt@mentel.com
nic-hdl: MH429-RIPE
mnt-by: TELIANET-LIR
source: RIPE # Filtered

% Information related to '80.239.192.0/19AS1299'

route: 80.239.192.0/19
descr: TELIANET-BLK
remarks: Abuse issues should be reported
remarks: to abuse@telia.com
origin: AS1299
mnt-by: TELIANET-RR
source: RIPE # Filtered

[S0l0]

c'est pas un whois qu'il faut faire , mais recherche qu'est-ce qui a provoquer cette alerte chez toi .
Commence par des netstat , ps , lsof etc... pour rechercher le processus qui accede au reseaux et le cas echeant celui qui fait les requetes .

[KIKIKIKI]

Ben effectivement, il me faut rechercher le processus qui est a l'origine de ce trafique....mais je ne suis pas au fait de ces choses là, j'ai installé smoothwall avant de connaitre un peu le réseau.

je pense qu'un logiciel de pub se connect a certain sites.....je l'ai normalement enlevé mais je continue de surveiller au cas ou......

D'autre messages de se type sur le journal mais pour l'instant que des connections sur le site même de smoothwall ou des sites de jeux que je frequente......même si celà me semble tout de même etrange.

Ces messages sont uniquement sur mon smoothwall ou d'autre personnes du forum en ont.....?

kiki

[manu59]

Salut, j'utilise la Smooth' chez moi (fonctionne à merveille !!!!!!!)
Des attaques tu en verras plein..... utilise google pour tes recherches, j'ai déjà trouvé quelques réponses à ta questions:
http://www.cgsecurity.org/Articles/sotm27/index.html
http://www.cert.org/advisories/CA-2003-04.html

etc.

La smooth' c'est super chez soi, même pour abriter des serveurs.
Bonne utilisation

[KIKIKIKI]

Merci bien, ces informations me sont utiles ...
Je progresse tout doucement sur xp et linux et ce n'est pas évident....

merci encore et a+

kiki