Reprise du message précédent :
Je me suis installé l'interface Webmin de la mandrake 8.2 Pro (sous RedHat 7.3), il a une fonction nmap qui me semble plus fournie que nmap ou xnma, ou tout du moins mieux paramétrables.

nmap -sN -v -P0 -PB -O -I -f 193.253.189.82
En faisant un scan avec -f, aurais-je simplement passer le FW du STH et donc scanné sa machine.... a tester
----------------
Syntaxe nmap
nmap -s[F|X|N] -f cible
Descriptif
La fragmentation n'est pas une technique à part entière. Elle est à combiner avec les trois méthodes vues précédemment. Il s'agit de fragmenter les paquets IP envoyés, pour rendre la tâche des filtres et firewalls plus ardue. En effet, ils ne défragmentent pas les paquets, tâche qui leurs prendrait beaucoup trop de temps et de ressources, et qui avant tout est dévolue au machine se trouvant derrière ce firewall.
Cependant, certains réseaux, machines ou systèmes d'exploitations ont des problèmes de gestion des paquets fragmentés. Un comportement inattendu peut alors se produire (plantage, redémarrage, ...). Mais un avantage non-négligeable de cette méthode est que les systèmes de détection d'intrusions se basent de plus en plus sur les signatures (pour pouvoir détecter les FIN, ...). La technique de fragmentation peut donc être utile pour contourner ces IDS.
Avantages
Permet de contourner les IDS, firewalls et filtres.
Inconvénients
Parfois, un comportement inattendu de la machine cible.

Hmoui, mais la technique du SYN Scan me paraît donner des résultats beaucoup plus probants (sans faux positifs). En fait, ils expliquent dans la manpage que le principal intérêt de ces scans est de distinguer les machines sous Windows.

 
le sN permet de passer inapercu sur un kernel 2.2.x par exemple

MagicBuzz a écrit a écrit :   IIS 5.0 + hotfixes POST-SP3 (PRE-SP4 quoi )

 

 
tu crois pas si bien dire

Je viens de tester un STH d'un amie que j'avais configuré comme MagicBuzz, he bien oui, les ports sont ouvert dès que l'on utilise l'option (-f fragmented), en dehors de cette option seul les ports ouverts sont apparents.
 
Ici test et retest avec analyze en cours pour savoir si l'on passe réellement le FW ou pas (scan de la machine qui est derrière) et comme c'est une amie, voir si l'on peut avoir un nom d'utilisateur d'un service qui est derrière.
 
Suite au prochain numéro

 
putain c'est vrai que vous êtes franchement lourd et désagréable là
il avait l'air de bonne fois    
 
moi j'apporte ma contribution quand même :
je sais pas comment tu es protégé contre le vers nimda, mais si tu y a pas pensé, sache que tu peux déjà te considérer comme infecter  

Personne ne prétend que Linux est infaillible. D'ailleurs, ça n'a rien à voir avec Linux (à part les failles du noyau, exceptionnellement rares pour un code de cette taille), mais ça relève des distributions.
 
Dans les distributions modernes, l'infrastructure de sécurité est complètement intégrée et homogène, ce n'est pas une option ni un ramassis de patches de sécurité venant de diverses sources, sans même une somme MD5 pour les vérifier (ça signifie que si quelqu'un prend le contrôle de la machine, il peut remplacer le patch par autre chose sans que tu t'en rendes compte).
À titre d'exemple, la faille d'OpenSSH a été corrigée sur Debian en 10 heures. Installée, configurée, sur les 11 architectures supportées. Compare ça aux mois qu'il faut pour voir sortir un patch d'IIS ou d'IE, ajoutés aux 3 mois supplémentaires pour avoir le patch en Français (bah oui, leur infrastructure d'internationalisation est tellement pourrie qu'il faut plusieurs patches).
 
La force de ces distributions, ce n'est pas l'infaillibilité, c'est d'avoir prévu leur faillibilité et de la corriger en temps réel.

je réitère ma question :
es tu protégé contre nimda ?

Un antivirus sur un serveur ?

Mais arretez d'emmerder Magic avec vos solutions à deux balles !
 
 Magic n'aime pas Linux, n'aime pas Netscape et n'aime pas MySQL.
 
 Quant a la secu du serveur : Ben oui un antivirus peut faire du bon boulot.
 
Sur ce a ciao !

http://www2.trendmicro.com/US/Prod [...] efault.htm
 
Y a meme pour Linux, c'est pas beau ça ?

C'est pas beau de se moquer, mais quand même...
 
 
 
 
 
 

MagicBuzz a écrit a écrit :       Sinon, là y'a zozoll qui vient de voir le bordel que vous avez foutu dans sa base   tu m'excuseras pour lui mais ceci dit , sa machine n'a plus répondu des le 1er test   Il est colère (surtout parcequ'il est en angleterre et que si le serveur avait crashé ça aurait pas été super pratique pour le déplanter ) M'enfin bon, ça va je lui ai expliqué, il est en train de vider sa base

 
c'etait un test de charge , pas du hack , comment dirait avv

Pour le flood, c'est normal, je ne pense pas que cela soit le modem mais plutot la ligne ADSL, tu as combien en Upload ?
128K chez moi, c'est vite saturé.

 
 
 
 
 
'acré Magic !

superX a écrit a écrit :     c'etait un test de charge , pas du hack , comment dirait avv

 
D'un autre coté, on avait oublié le système antiflood ailleurs que sur le forum
 
Sinon, c'est vrai que j'attend tjr de trouver de vrais hackers...
On en parle partout, tout le monde dit 'j'vais te hacker ta mere', etc...
Mais quand on essaie de trouver qqn de plus de 13 ans qui utilise le dernier trojan pour 'hacker' un pc, ben c pas gagné...
 
Et pour une fois, je rappelle que tout ceux qui on tapés sur mb SONT les trolls. Vous devenez tellement parano qu'a la moindre question vous partez en live. MB demande un audit de sa sécurité a des personnes qui n'arretent pas de lui dire qu'elle est mauvaise, sans meme pouvoir lui dire ce qui cloche.

c'est meme pas une question de sécurité en ce qui te concerne , c'est un serveur qui tient pas la route :  t'es le 1er sur qui j'ai tapé , et hop en moins d'1 minute : injoignable jusqu'a que t'intervienne manuellement . Celui de buzz a tenu .

spa mon serveur Ch'ui juste admin sur le site

Magic :
*/ Pourquoi ouvrir le port SQL? y'a des gents qui se connectent depuis Internet sur ton Serveur SQL? A mon avis non, seulement tes scripts ASP qui sont en local, eux... Donc ferme le port SQL.
*/ Est-ce que par attaque/secu tu pensse à attaque par DOS? parcequ'a mon avis, tu n'est pas protégé contre cela...
*/ Hummm... le truc du STH ca sux, parceuq'il laisse passer tous les paquets fragmentés...
*/ sinon, on peux TOUT Tester? contacte moi par ICQ si tu veux ,)

DoS : denial of service

MagicBuzz a écrit a écrit :   */ Le port SQL est ouvert, car avec le serveur de Zozoll, on a un module de synchornisation de nos bases d'utilisateur : tout utilisateur du site MT est répliqué sur son serveur, afin d'être directement enregistrée sur son forum, et tout utilisateur de son site qui va sur MT est automatiquement inscrit sur MT. Et pour ce faire, il faut que le site distant puisse accéder à la base de données. Mais à ce niveau, c'est protégé : l'utilisateur utilisé ne peux que éxécuter deux procédures stockées et n'accède à rien d'autre. Et les procédures stockées ne font que vérifier la validité du couple login/mot de pass passé en paramètre, ou créer une ligne dans la table des utilisateurs. Donc même si qq1 récupère le mot de pass utilisé en sniffant les trames par exemple (pas évident, mais certainement faisable, puisque je ne crois pas que ce soit crypté) il ne pourra rien faire de plus que les fonctions auxquelles il a accès depuis l'interface HTML.   */ Qu'est-ce que tu entends pas "attaque pas DOS" ? DOS ? MS-DOS ? C'est à dire   */ Ouais, mais d'après les tests d'avv, le STH répondrait en fait que c'est ouvert, mais qu'une machine soit derrière ou pas, ça revient au même, donc visiblement, c'est le modem qui encaisse tout, sans forwarder derrière apparement. (d'ailleurs d'après le résultat de ses logs ça semble confirmé, car les ports 21 et 25 répondaient par exemple, alors que je n'ai aucun FTP ni telnet sur les machines derrière. Donc... Mais en effet, c'est quelquechose qui pourrait être inquétant. Ca m'intéresse d'avoir plus d'infos là-dessus.   */ A la base, tu peux "tout" tester, dans le mesure où tu évites de tout planter Si tu lances un truc sux, prévient-moi avant que je mette à jour mes backup au cas où je doive restaurer en catastrophe, parceque j'ai pas trop envie de tout redévelopper mon site   Et je te contacterai pas par ICQ, parceque niveau sécurité, c'est pire que 95 sans patch

 
attaque DoS = Denial of Service
 
tu te fais (pink) flooder de partout kwa
 
edit : tain grillaid
 
A+

sinon c un peu légende urbaine le icq pire qu'un gruyere
 
A+

MagicBuzz a écrit a écrit :   */ Le port SQL est ouvert, car avec le serveur de Zozoll, on a un module de synchornisation de nos bases d'utilisateur : tout utilisateur du site MT est répliqué sur son serveur, afin d'être directement enregistrée sur son forum, et tout utilisateur de son site qui va sur MT est automatiquement inscrit sur MT. Et pour ce faire, il faut que le site distant puisse accéder à la base de données. Mais à ce niveau, c'est protégé : l'utilisateur utilisé ne peux que éxécuter deux procédures stockées et n'accède à rien d'autre. Et les procédures stockées ne font que vérifier la validité du couple login/mot de pass passé en paramètre, ou créer une ligne dans la table des utilisateurs. Donc même si qq1 récupère le mot de pass utilisé en sniffant les trames par exemple (pas évident, mais certainement faisable, puisque je ne crois pas que ce soit crypté) il ne pourra rien faire de plus que les fonctions auxquelles il a accès depuis l'interface HTML.   */ Qu'est-ce que tu entends pas "attaque pas DOS" ? DOS, MS-DOS ? C'est à dire   */ Ouais, mais d'après les tests d'avv, le STH répondrait en fait que c'est ouvert, mais qu'une machine soit derrière ou pas, ça revient au même, donc visiblement, c'est le modem qui encaisse tout, sans forwarder derrière apparement. (d'ailleurs d'après le résultat de ses logs ça semble confirmé, car les ports 21 et 25 répondaient par exemple, alors que je n'ai aucun FTP ni telnet sur les machines derrière. Donc... Mais en effet, c'est quelquechose qui pourrait être inquétant. Ca m'intéresse d'avoir plus d'infos là-dessus.   */ A la base, tu peux "tout" tester, dans le mesure où tu évites de tout planter Si tu lances un truc sux, prévient-moi avant que je mette à jour mes backup au cas où je doive restaurer en catastrophe, parceque j'ai pas trop envie de tout redévelopper mon site   Et je te contacterai pas par ICQ, parceque niveau sécurité, c'est pire que 95 sans patch

*/ RHAAAAAA MON DIEUX QUE C'EST PORC!!! Putain tu peux pas faire un flux d'échange XML de la base user? parceque l'accès distant à une BDD comme ca ca sux...
*/ Denial Of Service : ta machine ne réponds plus aux clients...
*/ bah c parcequ'il a mal tourné son test... Si il laisse passer les trames fragmentées, c'est qu'il n'associes pas les headers (notement l'addresse IP source/dest) auy paquet, donc je peux lui faire parvenir des paquets à l'attention d'une IP de ton réseau local en forgeant mes trames, donc me connecter à tes partages samba par exemple...
*/ ICQ c pas plus "insecure" qu'IIS ou qu'autre chose... si c'est firewallé, le mec en face peut pas faire plus que chopper ton IP... Que j'ai de toute facon...

MagicBuzz a écrit a écrit : */ Ouais mais c'est plus pratique que des fichiers XML qui se baladent. Et c'est parfaitement instantané comme ça.   */ Yep. J'ai déjà vu ça. Je sais pas ce que ça donne sur ma machine. Mais si tu casses tout, dis-moi comment réparer   */ OK. En effet, ça peut être dangereux. Je te laisse faire des tests si tu veux   */ Ouais mais bon, moins on a de trucs foireux, moins on a de risque

 
*/ Instantané pitet mé propre surement pas
 
*/ Ba c'est ce qu'à fé SuperX avec ton forum: flood jusqu'à ce ke la machine ne réponde plus...un DoS bien fait peut rendre le serveur down pour un bon moment...
 
*/ C'est assez classique l'attaque par fragmentation...simple, rapide et efficace
 
*/ Oui c sûr mé d'un truk coté, le nivo global de la sécu est aligné sur le truk le moins sécurisé de l'ensemble....et en l'occurence, plus qu'icq, c'est ton windows qui est le moins secure....donc si tu trouves icqs trop peu sécurisé, effaces aussi windows !

J'ai raté qq chose ou tu donnes pas l'adresse de ton serveur ?

t'as raté kek chose
il la donne et de tte elle est affichée dans son profil

MagicBuzz a écrit a écrit :   Ouais m'enfin je maintiens que c'est un peu surfait comme réputation, la preuve, mon site est toujours up

 
n'exagerons rien : IIS c'est le frankestein des serveurs http tellement il est rapiécé de patch , ou alors la version 5 est une nouvelle ponte qui a tenu compte des faiblesses de ses aïeux ?  
 
en parlant de ça , en ce moment j'ai bcp de b.cgi?tralalala qui arrive , j'ai pas trouvé grand chose sur le net la dessus mais un truc corrobore : une sorte de trojan qui envoie un peu partout des infos sur la machine (user , pass...)  
 
ex:
 
z50.61-115-108.ppp.wakwak.ne.jp - - [26/Aug/2002:19:27:40 +0200] "GET /b.cgi?alt&170332163&000000000000&INFO0D000100300A000100300C00010031 HTTP/1.1" 403 215
213-193-186-154.adsl.easynet.be - - [26/Aug/2002:17:51:02 +0200] "GET /b.cgi?alt&171430691&000000000000&INFO0D000100300A00020031370C000100310E0002003531 HTTP/1.0" 403 203
 
on remarque un 'INFO' la dedans ... si t'as des infos la dessus , ca m'interresserait .

pour son pb de port SQL la solution ne passe t'elle par par un tunnel ssh et un paramétrage du firewall ( si il en met un ) pour n'authoriser qu'une certaine IP à accéder au port ?

 
Oui à mon avis, c'est ce qu'il y aurait de mieux....mé bon encore fo-t-il partir du principe que l'IP du client corresponde bien au VRAI client....spoofer une connection est quand même assez facile...enfin moa j'dis ca...

Slaanesh a écrit a écrit :     Oui à mon avis, c'est ce qu'il y aurait de mieux....mé bon encore fo-t-il partir du principe que l'IP du client corresponde bien au VRAI client....spoofer une connection est quand même assez facile...enfin moa j'dis ca...

oui, mais spoofer un tunnel SSH... mais bon, un tunnel SSH depuis Windows   Il n'y a que le SSH

MagicBuzz a écrit a écrit : Ben je sais pas. Je sais que SQL Server gère nativement des tunnels sécurisés (je crois pas que ce soit SSH, mais avec une clé MD5 quand même donc...) Par contre je sais pas si c'est actif par défaut, et moi j'ai rien touché à ce niveau donc

 
Dans ce cas (MD5) les données ne sont pas décryptées car pas décryptable, vraisemblablement si ce que tu envoies c'est user_name + password, alors avant l'envoi le password est crypté avec une clé MD5 (c certainement ça aussi que tu stockes dans ta base), reste à voir si ça peut ou pas permettre une attaque, à priori non

un tunnel ssh avec 2 IP dynamique  ... show time
 
ou alors il faut une mise à jour dynamique des paramètres du firewall ( pour les ip ), ssh pouvant se contenter du nom

faux justement.
 
il peut tenter un exploit. si ton logiciel à une faille qui permet un buffer owerflow/privileges escalation/DoS/... et que ton logicel n'est pas patché suffisament tôt il peut exploiter cette faille.
 
Tu ne peux deviner quelles failles seront trouvé par la suite, tu ne peux ainsi faire intrèsinquement confiance au logiciel ( surtout si le code est closed source )

de tte à ce nivo les règles sont simples:
 
Axiome 1: Plus un programme est gros, plus il contient de bug
Je pense que cet axiome est communément admis.
 
Théorème 1: Plus un programme est gros, plus le nombres de failles susceptibles de s'y trouver est important
Démo: Cf. Axiome 1
 
Corollaire 1: Plus un programme est petit, plus il est secure.
 
C'est en suivant ces règles simples que tu comprendras ce que Dark Schneider veut dire...

C'est ce que j'allais dire... Beaucoup de logiciels se mettent à faire de plus en plus de choses, pour lesquelles ils n'ont pas été prévus au début de leur conception.
 Et comme ce qui était dit plus haut, on ne sait pas quelle(s) faille(s) va(vont) être trouvée(s) dans un futur plus ou moins proche, que le logiciel soit ou non "closed source". (même si on observe une plus grande réactivité dans le domaine "open source" )
 
 Sinon, STunnel avec un certificat client et serveur, ça devrait être envisagé pour le lien SQL... (ou SSH comme il a été dit plus haut)
 
--
ce n'est que mon avis, et je le partage

 J'y repense, il y a peut-être moyen d'utiliser un VPN avec PPTP ou L2PT sous Windows. Il me semble que j'avais trouvé des infos là-dessus dans une doc fournie avec Windows 2000 Server ...
 
 
--  
ce n'est que mon avis et je le partage

c'est tout à fait possible, tu peux utiliser IPSec si tu veux

 Ah oui, aussi, c'est vrai... Mais il n'y a pas de problèmes dans le cas où il y a une translation d'adresse (je n'ai pas fait attention s'il y en avait une pour ce serveur) ?
 
--  
ce n'est que mon avis et je le partage

il y a 2 pb :
 
pour le serveur pptp il faut un phone number
pour Ipsec il faut au moins une IP fixe