Merci Patrice, de ces précieux conseils, que je vais sans tarder mettre à profit ....
http://intranet
Division INFORMATIQUE (Cellule Réseau)
ACOFA
76 Rue de Reuilly
75012 PARIS
Tél 01 40 58 70 36
Patrice ARNAL <patricearnal@libertysurf.fr>
28/05/2004 19:28
Veuillez répondre à aide-linux
Pour : aide-linux@lists.ze-linux.org
cc :
Objet : Re: [conseil] - Snort et securité
Christophe.HUCAULT@acofa.gouv.fr a écrit :
> Bonjour la liste,
>
> J'ai une ligne comme cela dans mes logs Snort : Le from c'est une
> université Grecque, le to c'est ma patte Fwall...
>
> 195.130.127.146 192.168.220.254 <any> WEB-MISC apache DOS attempt
> {TCP}
>
> Qu'auriez vous concretement comme réaction ?
>
> D'avance merci.
>
> Christophe.
>
> ----------------------------------
> Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
> http://lists.ze-linux.org/howto_ml.html
>
Bonjour,
Celà dépend du nombre de lignes de ce style que tu as.
S'il n'y en a qu'une c'est peut-être une fausse alerte.
Par contre, la première chose à faire, c'est de rechercher dans les logs
les autres messages en provenance de cette université pour voir si il ne
s'agit pas d'une tentative plus élaborée.
Quand je parle des logs, c'est de ceux de snort, mais aussi ceux du
pare-feu et des services que tu hébèrges.
Par contre, si tu es chez un provider qui ne te donnes q'une adresse IP
et que cette université a fait un scan de tout le réseau, tu ne le
verras pas.
Là ou je travaille, nous avons toute une plage d'IP ce qui permet
d'identifier les scans.
Quand celà vient d'une Université, il s'agit souvent d'un TP et montrer
qu'on n'est pas dupe par un petit mail ne fait pas de mal.
Pour savoir d'ou provient l'attaque éventuelle, j'utilise le site de
geektools ( who is) http://www.geektools.com/whois.php
Il y a en général une adresse ou se plaindre ....
Bonne soirée
----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html