attaque par balayage de ports dans le collège où je travaille
attaque par balayage de ports dans le collège où je travaille - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 09-11-2009 à 18:51:14
Effectivement les scans de port peuvent être le symptôme d'un virus qui traine et tente de se propager. Ce qu'il te faut ce n'est pas le nom mais l'adresse IP de la machine qui a initié le scan.
---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Marsh Posté le 09-11-2009 à 19:03:00
dreamer18 > merci pour ta réponse. Pourrais-tu m'en dire un peu plus :
(a) j'ai récupéré l'adresse IP de la machine qui me faisait un scanport. Mais mon collègue qui gère le réseau m'a expliqué que cette adresse étant attribué par DHCP, n'était pas utilisable pour repérer la machine. Est-ce vrai ?
(b) que faire pour éradiquer le virus ?
(c) pourquoi ma Mandriva repère-t-elle le scanport alors que toutes les autres machines du parc ont aussi un firewall ?
(d) côté serveur, y a-t-il une trace de ce scanport ?
J'ai bien conscience de la naïveté de mes questions... j'espère ne pas abuser de votre gentillesse.
Message édité par suizokukan le 09-11-2009 à 19:03:30
---------------
rule #1 : trust the python
Marsh Posté le 09-11-2009 à 19:31:55
maintenant que l'incident est fini une analyse post mortem est quasi impossible à faire. Il faudrait remonter les infos au moment où le scan se produit.
---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Marsh Posté le 09-11-2009 à 22:02:57
Si le serveur DHCP à un log tu peux aussi retrouver le poste par son adresse mac.
---------------
Ustea ez da jakitea
Marsh Posté le 09-11-2009 à 22:59:20
> wonee : merci pour ce détail; je me renseignerai demain.
---------------
rule #1 : trust the python
Sujets relatifs:
- les ports dynamiques lors de la creation de certificats
- ouverture de ports intempestive
- pb routage ports eth/int atm routeur cisco a?
- Logiciel monitoring de bande passante pour switch alcatel 32 ports
- Cisco Asa , Rediriger les ports vers un serveur exchange
- Les ports UDP ne semblent pas fonctionner...
- Info sur l'autonégocation et la fixation de ports d'un SW
- Switch 3Com 4500 50 ports
- switch avec 6 ports GB
Marsh Posté le 09-11-2009 à 18:41:03
Bonsoir,
je travaille dans un collège avec un parc 100% Windows : posts utilisateurs, serveur Windows 2000 (seul le proxy est sous Linux). De mon côté je travaille avec un ordinateur portable sous Linux (une Mandriva) : je n'accède pas au serveur (je ne suis pas déclaré dans l'Active Directory) mais je peux aller sur Internet via le proxy.
Ce matin, et pour la première fois depuis deux ans, ma Mandriva m'alerte : une machine du réseau du collège tente un scanport sur le port 30020. Je récupère le nom de cette machine (il apparaît dans le message d'alerte) et vérifie qui l'a utilisée à ce moment de la journée. Une personne de confiance m'affirme que personne n'a utilisé cet ordinateur de toute la matinée.
Mes connaissances réseau sont très insuffisantes pour comprendre ce qui s'est passé : est-ce que ce scanport doit nous inquiéter ? un virus est-il responsable du scanport ? pourquoi le nom d'une machine non allumée apparaît-il dans le message d'alerte ?
Je reste à votre disposition pour plus d'informations. Merci de bien vouloir m'aider !
Message édité par suizokukan le 09-11-2009 à 18:43:55
---------------
rule #1 : trust the python