attaque class network-scan indiqué par Kerio

[Lien Rag]

Bonsoir

 

dans le journal NIPS je trouve des attaques (pdt la nuit) classe de l'attaque : network-scan , pourriez vous me donner des precisions

Je vois les noms de Hosted source + une IP ( puis je remonter la source)

 

merci d'avance

[Bell@tor]

c'est peut etre quelqu'un qui à scanné ton ip (parmis d'autres) pour voir s'il pouvait rentré sur certain(s) port(s) dc dans ce cas pas de problèmes sauf si tu es infecter !... pour ce qu'il s'agit de remonter c'est une autre paire de manche...

[kibutz]

Aaah ces logs de firewall !!!

 

puis je remonter la source

 

Je n'oserais dire oui et non mais tu peux avoir quelques renseignements sur le net.

Par exemple sur ce site http://www.webyield.net/domainquery.html#findip

qui propose quelques outils de base et tu peux compléter ta recherche avec http://www.arin.net/whois/

 

Maintenant, il faut savoir que des milliers de "robots" parcourent le net à la recherche "d'informations" ou de ports ouverts (et surtout quel service tourne derrière), là, maintenant, et aussi la nuit pendant que tu dors.

En revanche si cette adresse (ou dans la même plage) revient souvent et tout les jours dans le log NIPS c'est un peu moins normal.

 

Est ce le cas ?

Modifié le 6 mars 2007 par kibutz

[Lien Rag]

Merci bcp pour les liens...je vais partir en investigation

 

l'IP apparait 6 fois dans un délais de 30mn mais sur 1 seule date...pas de nouvelles tentatives d'intrusion depuis mais je vais check regulièrement

 

sympa pour la réponse en tout cas

[Lien Rag]

OK aprés check il semblerait que l'IP en question soit un site d'hebergement pour solutions Internet basé aux states...