kernel intrusion à répétition ?

de **Roadster** » 28 Mar 2006 18:00

question d'ignare ?

je constate que depuis 11h51 (alors que je suis resté absent toute le journée) une intrusion est signalée toutes les 10 minutes dans le fichier évenements système de la Hitachi V2, soit 50 en tout depuis ce midi.

à quoi cela correspond t'il ?

merci pour les explications à venir

Annonces

de **achtungbaby** » 28 Mar 2006 18:05

Des tentatives d'intrusions je suppose. Mais faut pas s'alarmer pour ça.

Si un mec est branché sur ton IP, il te suffit de rebooter le modem pour changer d'ip.

de **Pfff** » 28 Mar 2006 18:06

tu un journal avec des IP pour faire un whois et voir qui fait ca ???
si ca se trouve c pas grave ... perso chez cegetel ca fait un mois que j'en ai ... et je me porte bien

de **tipoux** » 28 Mar 2006 19:21

Voilà ce que j'ai aussi:
Date et heure Service Criticite Message
Mar 28 20:05:16 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID= DF PROTO=TCP SPT=3591 DPT=5665 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 28 20:05:23 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=40086 DF PROTO=TCP SPT=3591 DPT=5665 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 28 20:05:37 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=15493 DF PROTO=TCP SPT=3176 DPT=5665 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 28 20:05:39 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=50186 DF PROTO=TCP SPT=4026 DPT=5665 WINDOW=64800 RES=0x00 SYN URGP=0
Mar 28 20:05:40 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=15620 DF PROTO=TCP SPT=3176 DPT=5665 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 28 20:05:42 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=50535 DF PROTO=TCP SPT=4026 DPT=5665 WINDOW=64800 RES=0x00 SYN URGP=0
Mar 28 20:05:46 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=15822 DF PROTO=TCP SPT=3176 DPT=5665 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 28 20:15:40 kern alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC= DST= LEN=64 TOS=0x00 PREC=0x00 TTL=43 ID=56003 DF PROTO=TCP SPT=1388 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0

J'ai bien sur retiré les adresses...

A+

de **Neuneu** » 29 Mar 2006 10:17

Tiens mon frangin a eu sa avant que l'hitachi ne passe en mode hs :cool:

de **lfabrice** » 29 Mar 2006 10:20

Pour ma part des kernel intrusion j'en ai toujours eu des paquets, au mini une toutes les 10 minutes.
Et avec la V1 ou la V2, je pense que cela vient de mecs qui teste ta protection. CEla prouve juste que le firewall est opérationnel et fiable.
Enlève le firewall tu n'auras plus ces alertes :cool:

mais tu auras des intrusions :lol:

de **achtungbaby** » 29 Mar 2006 10:30

La plupart de ses alertes sont tout bêtement des ping sur vos IPs. Donc pas d'inquiétude.

Par contre quand la box tombe, il s'agit bien d'une vrai attaque.

de **lfabrice** » 29 Mar 2006 10:32

Oui tout à fait d'accord achtung mais qqfois ces pings sur notre Ip servent aussi à des hackeurs pour tester la protection du PC/routeur/firewall, je ne connais plus le terme exact de cette manip, mais mieux vaut avoir un firewall dans l'alicebox qui donne des alertes que de ne pas en avoir.

de **Neuneu** » 29 Mar 2006 11:31

lfabrice a écrit:Oui tout à fait d'accord achtung mais qqfois ces pings sur notre Ip servent aussi à des hackeurs pour tester la protection du PC/routeur/firewall, je ne connais plus le terme exact de cette manip, mais mieux vaut avoir un firewall dans l'alicebox qui donne des alertes que de ne pas en avoir.

Un scan ou un audit

de **SGDA** » 29 Mar 2006 12:48

un reliquat de p2p DestinationPortT=5665
windows XP qui fait une recherche réseau DPT=445

de **Skyhorse** » 29 Mar 2006 12:56

Certains rigolos font des pings à répétition pour trouver des IPs utilisées. A partir de là, si la personne a des partages sur une vieille version de XP ou antérieure ou non mise à jour il est possible de récupérer les données qui se trouvent dans ses dossiers partagés.

Ce n'est pas une faille, à l'origine ça servait pour se connecter à un ordinateur distant pour un partage de données... sauf que ça peut aussi être utilisé en milieu non sécurisé !

La box d'Alice suffit à stopper ce genre d'attaques, fort heureusement.

de **Roadster** » 29 Mar 2006 14:37

Merci pour ces éclaircissements.

La régularité (toutse les dix minutes), m'intrigue toutefois.

Voici les Ip en cause ce jour :

207.212.194.190
213.112.111.2
83.156.114.254
83.156.210.37
83.156.235.78
83.156.236.39
83.156.34.26
83.156.52.119
83.156.74.52
83.156.8.254

certains intervenant à plusieurs reprises.

La cible (mon Ip) est aussi en 83.XXX.XXX.XXX

de **achtungbaby** » 29 Mar 2006 14:41

A mon avis, tu as chopé l'ip d'un mec qui faisait du P2P et les gars sont en train d'essayer de te choper pour récupérer les téléchargements qu'ils ont commencés.

kernel intrusion à répétition ?

kernel intrusion à répétition ?

Annonces

Qui est en ligne