Interprétation Logs parefeu
Poctokom
Messages postés
16
Date d'inscription
Statut
Membre
Dernière intervention
-
brupala Messages postés 112036 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112036 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
je vais poser la question la plus stupide du monde, mais je suppose que tout débutant doit passer par là.
Mon fournisseur d'accès pro m'envoie un message comme quoi je risque d'être blacklisté car une machine de mon réseau semble envoyer du spam.
Il y a en place Ipcop comme pare feu sur mon réseau.
hors ... mes faibles connaissances ne me permettent pas d'analyser ce log de manière claire pour déterminer si il y a un coupable sur ce réseau.
Est-ce que l'un de vous pourrait m'aider à décoder tout ça de façon à ce que le néophyte que je suis puisse y voir plus clair.
Comment dois-je interprété tout ça ? A quoi correspond toutes ces données ?
Comment voir ce qui est suspect ?
Par avance je vous remercie. :)
je vais poser la question la plus stupide du monde, mais je suppose que tout débutant doit passer par là.
Mon fournisseur d'accès pro m'envoie un message comme quoi je risque d'être blacklisté car une machine de mon réseau semble envoyer du spam.
Il y a en place Ipcop comme pare feu sur mon réseau.
hors ... mes faibles connaissances ne me permettent pas d'analyser ce log de manière claire pour déterminer si il y a un coupable sur ce réseau.
Est-ce que l'un de vous pourrait m'aider à décoder tout ça de façon à ce que le néophyte que je suis puisse y voir plus clair.
Comment dois-je interprété tout ça ? A quoi correspond toutes ces données ?
Comment voir ce qui est suspect ?
Par avance je vous remercie. :)
A voir également:
- Interprétation Logs parefeu
- View recovery logs - Guide
- [Shareaza vista (routeur/ parefeu)] ✓ - Forum Pare-feu / Firewall
- No logs vpn - Guide
- Interprétation des Reves. - Forum Loisirs / Divertissements
- Parefeu matériel -- Domiciel / TPE - Forum Réseau
3 réponses
Bonjour,
Le plus souvent c'est que votre serveur SMTP est utilisé en relai. C'est à dire qu'il envoie pour quelqu'un d'autre des mails (c'est son role en même temps ...)
Le terme relai permet de relayer à un autre serveur SMTP l'envoi de message ; et lorsqu'il est mal configuré ce relai SMTP, d'autres personnes en dehors de votre réseau l'utilise pour envoyer des mails.
Il faut matcher tout ce qui se rapporte au port 25.
Le premier cas de figure c'est le SPT=25, dans les colonnes M et N (surtout la N, car il y a un décalage sur certaines lignes.)
Un second cas de figure, une machine utilise un SMTP à l'extérieur (plutot rare pour ce type de problème) , on peut aussi regarder le DPT=25 sur N et O.
edit : 3eme cas de figure, un autre serveur SMTP en interne a été mis en place et est mal configuré, ou utilisé pour spammer.
Il faut aussi s'assurer que seul votre SMTP soit autorisé à utiliser le port 25 en sortie ET en entrée.
Le scénario le plus courant est le N°1 : votre serveur SMTP est mal configuré en interne.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Le plus souvent c'est que votre serveur SMTP est utilisé en relai. C'est à dire qu'il envoie pour quelqu'un d'autre des mails (c'est son role en même temps ...)
Le terme relai permet de relayer à un autre serveur SMTP l'envoi de message ; et lorsqu'il est mal configuré ce relai SMTP, d'autres personnes en dehors de votre réseau l'utilise pour envoyer des mails.
Il faut matcher tout ce qui se rapporte au port 25.
Le premier cas de figure c'est le SPT=25, dans les colonnes M et N (surtout la N, car il y a un décalage sur certaines lignes.)
Un second cas de figure, une machine utilise un SMTP à l'extérieur (plutot rare pour ce type de problème) , on peut aussi regarder le DPT=25 sur N et O.
edit : 3eme cas de figure, un autre serveur SMTP en interne a été mis en place et est mal configuré, ou utilisé pour spammer.
Il faut aussi s'assurer que seul votre SMTP soit autorisé à utiliser le port 25 en sortie ET en entrée.
Le scénario le plus courant est le N°1 : votre serveur SMTP est mal configuré en interne.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Bonjour,
Il faut que tu regardes dans la colonne O, généralement les spambots utilise le port 25 (protocole smtp), donc fait un filtre sur cette colonne et cherche l'entré (DPT=25), s'il y a une machine (hormis ton serveur mail) qui envoi beaucoup de paquet vers internet (ou vers ton serveur mail, si tu autorise le relais smtp) sur ce port là ben il faut l'isoler rapidement du réseau et la nettoyer (malwarebytes, antispyware, hijackthis...)
Mettre son fichier log sur un forum c'est trop dangereux, essayes de masquer les IP et les adresses mac
Voila
Il faut que tu regardes dans la colonne O, généralement les spambots utilise le port 25 (protocole smtp), donc fait un filtre sur cette colonne et cherche l'entré (DPT=25), s'il y a une machine (hormis ton serveur mail) qui envoi beaucoup de paquet vers internet (ou vers ton serveur mail, si tu autorise le relais smtp) sur ce port là ben il faut l'isoler rapidement du réseau et la nettoyer (malwarebytes, antispyware, hijackthis...)
Mettre son fichier log sur un forum c'est trop dangereux, essayes de masquer les IP et les adresses mac
Voila
Les adresses IP sont privées dans ce log, personne ne peut les atteindre.
les adresses mac non plus.
Les seules publiques c'est chez microsoft (65.55...) et le chinois (60.173...) qui fait du scan de ports ssh.
les adresses mac non plus.
Les seules publiques c'est chez microsoft (65.55...) et le chinois (60.173...) qui fait du scan de ports ssh.
Je suis d'accord avec toi puisque c'est Naté, sur cet exemple on voit pas grand chose, mais ce n'est que le début de son fichier log, s'il a des serveurs accessible depuis l’extérieur, on pourrait clairement voir ses ip publiques
Pour le smtp, on voit pas la totalité de son fichier log mais il doit y'en avoir un peu plus bas
Pour le smtp, on voit pas la totalité de son fichier log mais il doit y'en avoir un peu plus bas
Si tu veux décoder ce genre de logs, il faut déjà que tu apprennes les ports et protocoles IP.
au boulot....
Est ce que tu connais l'adresse ip de ton serveur mail déjà ?
Il est dans la DMZ ?
et ... Voili Voilou Voila !
au boulot....
Est ce que tu connais l'adresse ip de ton serveur mail déjà ?
Il est dans la DMZ ?
et ... Voili Voilou Voila !
Tu as parfaitement raison.
De la maintenance matérielle, j'ai été propulsé à la gestion d'un parc informatique sur plusieurs sites.
C'est ultra intéressant mais toute la partie réseau est un immense bourbier mystérieux !
De ce que je sais, je n'ai pas de serveur mail.
C'est un service extérieur proposé par le rectorat de la région dans laquelle je travaille.
Je n’héberge rien lié à du mail.
Ce site : frameip.com m'a l'air d'être une petite mine d'infos ! Merci :)
De la maintenance matérielle, j'ai été propulsé à la gestion d'un parc informatique sur plusieurs sites.
C'est ultra intéressant mais toute la partie réseau est un immense bourbier mystérieux !
De ce que je sais, je n'ai pas de serveur mail.
C'est un service extérieur proposé par le rectorat de la région dans laquelle je travaille.
Je n’héberge rien lié à du mail.
Ce site : frameip.com m'a l'air d'être une petite mine d'infos ! Merci :)
Je t'invite à lire la totalité des posts, pas seulement le dernier ;-)
Rien ne t’empêche de faire les filtres proposés.
Comme j'ai annoncé plus haut, qq'un peut très bien de l'intérieur mettre un serveur SMTP et l'utiliser pour du relai.
Même chose, même si les boites aux lettres ne sont pas hébergées, on peut très bien avoir un serveur SMTP. Un serveur SMTP ne stocke pas de messages ou de boites aux lettres; il s'occupe juste de l'acheminement de mail.
Sinon se rapprocher de votre service de messagerie proposé par le rectorat et leur transférer comme quoi vous seriez blacklisté...
Rien ne t’empêche de faire les filtres proposés.
Comme j'ai annoncé plus haut, qq'un peut très bien de l'intérieur mettre un serveur SMTP et l'utiliser pour du relai.
Même chose, même si les boites aux lettres ne sont pas hébergées, on peut très bien avoir un serveur SMTP. Un serveur SMTP ne stocke pas de messages ou de boites aux lettres; il s'occupe juste de l'acheminement de mail.
Sinon se rapprocher de votre service de messagerie proposé par le rectorat et leur transférer comme quoi vous seriez blacklisté...
où vois tu du SMTP ?
je ne vois que du https (443), du dns (udp 53) et du 82, http interne, je suppose.
La seule tentative d'intrusion légèrement inquiétante est la ligne 13: un chinois (60.173....) qui essaie d'ouvrir une session SSH (dport 22) mais ça c'est très courant les scans de port SSH.
oups,
c'était pour les spams que tu disais ça, pas la capture.
Oui tout à fait ;-)