Interprétation Logs parefeu
Fermé
Poctokom
Messages postés
16
Date d'inscription
lundi 14 décembre 2015
Statut
Membre
Dernière intervention
11 décembre 2019
-
14 déc. 2015 à 10:16
brupala Messages postés 109406 Date d'inscription lundi 16 juillet 2001 Statut Non membre Dernière intervention 18 avril 2024 - 14 déc. 2015 à 16:40
brupala Messages postés 109406 Date d'inscription lundi 16 juillet 2001 Statut Non membre Dernière intervention 18 avril 2024 - 14 déc. 2015 à 16:40
A voir également:
- Interprétation Logs parefeu
- View recovery logs - Guide
- Proftpd logs ✓ - Forum Linux / Unix
- Interprétation écart-type par rapport moyenne ✓ - Forum Excel
- Windir\logs\cbs\cbs.log ✓ - Forum Windows 8 / 8.1
- Windir logs cbs cbs.log - Forum Windows Vista
3 réponses
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 14/12/2015 à 11:37
Modifié par kelux le 14/12/2015 à 11:37
Bonjour,
Le plus souvent c'est que votre serveur SMTP est utilisé en relai. C'est à dire qu'il envoie pour quelqu'un d'autre des mails (c'est son role en même temps ...)
Le terme relai permet de relayer à un autre serveur SMTP l'envoi de message ; et lorsqu'il est mal configuré ce relai SMTP, d'autres personnes en dehors de votre réseau l'utilise pour envoyer des mails.
Il faut matcher tout ce qui se rapporte au port 25.
Le premier cas de figure c'est le SPT=25, dans les colonnes M et N (surtout la N, car il y a un décalage sur certaines lignes.)
Un second cas de figure, une machine utilise un SMTP à l'extérieur (plutot rare pour ce type de problème) , on peut aussi regarder le DPT=25 sur N et O.
edit : 3eme cas de figure, un autre serveur SMTP en interne a été mis en place et est mal configuré, ou utilisé pour spammer.
Il faut aussi s'assurer que seul votre SMTP soit autorisé à utiliser le port 25 en sortie ET en entrée.
Le scénario le plus courant est le N°1 : votre serveur SMTP est mal configuré en interne.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Le plus souvent c'est que votre serveur SMTP est utilisé en relai. C'est à dire qu'il envoie pour quelqu'un d'autre des mails (c'est son role en même temps ...)
Le terme relai permet de relayer à un autre serveur SMTP l'envoi de message ; et lorsqu'il est mal configuré ce relai SMTP, d'autres personnes en dehors de votre réseau l'utilise pour envoyer des mails.
Il faut matcher tout ce qui se rapporte au port 25.
Le premier cas de figure c'est le SPT=25, dans les colonnes M et N (surtout la N, car il y a un décalage sur certaines lignes.)
Un second cas de figure, une machine utilise un SMTP à l'extérieur (plutot rare pour ce type de problème) , on peut aussi regarder le DPT=25 sur N et O.
edit : 3eme cas de figure, un autre serveur SMTP en interne a été mis en place et est mal configuré, ou utilisé pour spammer.
Il faut aussi s'assurer que seul votre SMTP soit autorisé à utiliser le port 25 en sortie ET en entrée.
Le scénario le plus courant est le N°1 : votre serveur SMTP est mal configuré en interne.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
basilisk4
Messages postés
61
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
16 décembre 2015
8
14 déc. 2015 à 11:29
14 déc. 2015 à 11:29
Bonjour,
Il faut que tu regardes dans la colonne O, généralement les spambots utilise le port 25 (protocole smtp), donc fait un filtre sur cette colonne et cherche l'entré (DPT=25), s'il y a une machine (hormis ton serveur mail) qui envoi beaucoup de paquet vers internet (ou vers ton serveur mail, si tu autorise le relais smtp) sur ce port là ben il faut l'isoler rapidement du réseau et la nettoyer (malwarebytes, antispyware, hijackthis...)
Mettre son fichier log sur un forum c'est trop dangereux, essayes de masquer les IP et les adresses mac
Voila
Il faut que tu regardes dans la colonne O, généralement les spambots utilise le port 25 (protocole smtp), donc fait un filtre sur cette colonne et cherche l'entré (DPT=25), s'il y a une machine (hormis ton serveur mail) qui envoi beaucoup de paquet vers internet (ou vers ton serveur mail, si tu autorise le relais smtp) sur ce port là ben il faut l'isoler rapidement du réseau et la nettoyer (malwarebytes, antispyware, hijackthis...)
Mettre son fichier log sur un forum c'est trop dangereux, essayes de masquer les IP et les adresses mac
Voila
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Non membre
Dernière intervention
18 avril 2024
13 617
Modifié par brupala le 14/12/2015 à 11:53
Modifié par brupala le 14/12/2015 à 11:53
Les adresses IP sont privées dans ce log, personne ne peut les atteindre.
les adresses mac non plus.
Les seules publiques c'est chez microsoft (65.55...) et le chinois (60.173...) qui fait du scan de ports ssh.
les adresses mac non plus.
Les seules publiques c'est chez microsoft (65.55...) et le chinois (60.173...) qui fait du scan de ports ssh.
basilisk4
Messages postés
61
Date d'inscription
samedi 24 avril 2010
Statut
Membre
Dernière intervention
16 décembre 2015
8
>
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Non membre
Dernière intervention
18 avril 2024
Modifié par basilisk4 le 14/12/2015 à 12:34
Modifié par basilisk4 le 14/12/2015 à 12:34
Je suis d'accord avec toi puisque c'est Naté, sur cet exemple on voit pas grand chose, mais ce n'est que le début de son fichier log, s'il a des serveurs accessible depuis l’extérieur, on pourrait clairement voir ses ip publiques
Pour le smtp, on voit pas la totalité de son fichier log mais il doit y'en avoir un peu plus bas
Pour le smtp, on voit pas la totalité de son fichier log mais il doit y'en avoir un peu plus bas
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Non membre
Dernière intervention
18 avril 2024
13 617
Modifié par brupala le 14/12/2015 à 12:04
Modifié par brupala le 14/12/2015 à 12:04
Si tu veux décoder ce genre de logs, il faut déjà que tu apprennes les ports et protocoles IP.
au boulot....
Est ce que tu connais l'adresse ip de ton serveur mail déjà ?
Il est dans la DMZ ?
et ... Voili Voilou Voila !
au boulot....
Est ce que tu connais l'adresse ip de ton serveur mail déjà ?
Il est dans la DMZ ?
et ... Voili Voilou Voila !
Poctokom
Messages postés
16
Date d'inscription
lundi 14 décembre 2015
Statut
Membre
Dernière intervention
11 décembre 2019
14
Modifié par Poctokom le 14/12/2015 à 13:56
Modifié par Poctokom le 14/12/2015 à 13:56
Tu as parfaitement raison.
De la maintenance matérielle, j'ai été propulsé à la gestion d'un parc informatique sur plusieurs sites.
C'est ultra intéressant mais toute la partie réseau est un immense bourbier mystérieux !
De ce que je sais, je n'ai pas de serveur mail.
C'est un service extérieur proposé par le rectorat de la région dans laquelle je travaille.
Je n’héberge rien lié à du mail.
Ce site : frameip.com m'a l'air d'être une petite mine d'infos ! Merci :)
De la maintenance matérielle, j'ai été propulsé à la gestion d'un parc informatique sur plusieurs sites.
C'est ultra intéressant mais toute la partie réseau est un immense bourbier mystérieux !
De ce que je sais, je n'ai pas de serveur mail.
C'est un service extérieur proposé par le rectorat de la région dans laquelle je travaille.
Je n’héberge rien lié à du mail.
Ce site : frameip.com m'a l'air d'être une petite mine d'infos ! Merci :)
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
>
Poctokom
Messages postés
16
Date d'inscription
lundi 14 décembre 2015
Statut
Membre
Dernière intervention
11 décembre 2019
14 déc. 2015 à 13:59
14 déc. 2015 à 13:59
Je t'invite à lire la totalité des posts, pas seulement le dernier ;-)
Rien ne t’empêche de faire les filtres proposés.
Comme j'ai annoncé plus haut, qq'un peut très bien de l'intérieur mettre un serveur SMTP et l'utiliser pour du relai.
Même chose, même si les boites aux lettres ne sont pas hébergées, on peut très bien avoir un serveur SMTP. Un serveur SMTP ne stocke pas de messages ou de boites aux lettres; il s'occupe juste de l'acheminement de mail.
Sinon se rapprocher de votre service de messagerie proposé par le rectorat et leur transférer comme quoi vous seriez blacklisté...
Rien ne t’empêche de faire les filtres proposés.
Comme j'ai annoncé plus haut, qq'un peut très bien de l'intérieur mettre un serveur SMTP et l'utiliser pour du relai.
Même chose, même si les boites aux lettres ne sont pas hébergées, on peut très bien avoir un serveur SMTP. Un serveur SMTP ne stocke pas de messages ou de boites aux lettres; il s'occupe juste de l'acheminement de mail.
Sinon se rapprocher de votre service de messagerie proposé par le rectorat et leur transférer comme quoi vous seriez blacklisté...
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Non membre
Dernière intervention
18 avril 2024
13 617
14 déc. 2015 à 16:40
14 déc. 2015 à 16:40
C'est vrai qu'en même temps, il n'y a pas que les serveurs SMTP qui sont capables d'envoyer du spam....
n'importe quel PC pourrait le faire.
n'importe quel PC pourrait le faire.
Modifié par brupala le 14/12/2015 à 12:05
où vois tu du SMTP ?
je ne vois que du https (443), du dns (udp 53) et du 82, http interne, je suppose.
La seule tentative d'intrusion légèrement inquiétante est la ligne 13: un chinois (60.173....) qui essaie d'ouvrir une session SSH (dport 22) mais ça c'est très courant les scans de port SSH.
oups,
c'était pour les spams que tu disais ça, pas la capture.
14 déc. 2015 à 12:09
Oui tout à fait ;-)