[metabaron1]

Bonjour
Ayant ouvert l'acces a mes rapports de logs de firewall, je me permets d'en faire la pub ici qui me parait le bon endroit vu que c'est destiné au pitits zombies de Free

http://metabaron1.free.fr/nids

>>> "Meta" a écrit dans le message de news:
>>> [email protected]...
>>>> Bonjour
>>>> Je me demandais si cela servait a quelque chose d'envoyer des analyses
>>>> de logs a abuse; si vraiment il a des actions, genres des mails
>>>> informant les utilisateurs que leurs postes sont susceptibles d'être
>>>> des zombies , ou si au moins c'est lu ...
>>>> Sinon j'avais pensé mettre en ligne les rapports d'analyses pour que
>>>> les personnes s'en rendent compte au cas ou elles tombent dessus. Mais
>>>> en fait je me dis que ce n'est peut être même pas une meilleure
>>>> solution de diffuser le lien vu que ça mettrait en évidences des IP qui
>>>> sont déjà des passoires. D'un autre coté il existe déjà des sites qui
>>>> référencent de telles IPs, alors un de plus ce ne peut pas faire
>>>> beaucoup plus de mal
>>> non,
>>>> même si dans ce cas ça serait principalement ciblé sur le réseau de
>>> Free...
>>>
>>> Abuse n envoie pas de mails aux zombies , ils coupent les connexions en
>>> attendant que les clients passent leurs PCs a l antivirus . Donc , il
>>> faut qu il y ait une réelle raison de couper une connexion , pas
>>> seulement un log de firewall .
>>
>> mais ca veut dire quoi 'réelle raison'? Est ce qu'un scan, pendant des
>> mois, de ports connus comme etant utilisés par des trojans ou imap et
>> autres est quelque chose de "normal"? Alors il faut ouvrir le port pour
>> laisser faire et logger les flux pour que ca soit considéré comme une
>> preuve suffisante de "fait réel"?
>> C'est avec a cause du laxisme des ISP qui ne font absolument rien contre
>> ca que les boites de mails sont à peine utilisables sans devoir tout le
>> temps chercher des expressions régulieres pour filtrer les spams.
>> Ca serait quand meme un peu plus efficace de filter le probleme a la
>> source plutot qu'essayer de soigner le mal quand ca devient inutilisable.
>
> J'ai donc mis en ligne les rapports de scans détectés sur mon firewall.
> http://metabaron1.free.fr/nids/
>  Au pire ca fera une liste d'IPs sur lesquels les lamerz du dimanche
>  peuvent
> envoyer leur m... en leur faisant remarquer que ca ne passe pas inapercu
> pour tout le monde et que tout laisse des traces. Au mieux si ca peut
> faire remarquer a certains que leurs PCs sont des passoires ca sera tjrs
> ca de gagné.

[Diaz]

Intéressant...

[atomcomputer]

Sep 24 04:07:45 wrt54gs  kernel: ::in_scan IN=vlan1 OUT= MAC=00:0f:x:x:x:x:00:07:cb:1d:a9:c5:08:00:45:00:00:30 SRC=68.208.108.71 DST=x
en tout cas incroyable le nombre d'attaque, mon serveur web sur une liaison adsl tourne depuis plus de trois ans et demis et je n'en revient pas de voir autant de pc zombies
ralala...

[Diaz]

Véridique
Formatage d'un pc, réinstallation de XP sans SP, connecté à la Freebox en Bridge (donc pas de NAT ou quoi que ce soit, aucune protection)
Premier démarrage. Durée de vie : 10 secondes avant les premieres popups IE et les dizaines de troyens/vers s'installent... tout ça grâce aux PC zombies des autres Freenautes...

[metabaron1]

Ce que je ne comprends pas c'est que Free ne fasse rien contre ca. Non pas une analyse systematique de tous les flux du réseau, car d'un point de vue technique ca ralentirait ceux qui n'ont rien demandé, mais ca serait pas dur de rajouter une option d'analyse d'intrusion lorsque qq1 active le mode routeur de la fbx. Et qq1 qui se retrouve sur tous les logs des du réseau c'et quand meme pas innocent! Moins de 1% qui emm... 100% du réseau franchement ils pourraient faire qqch.