Un firewall bloque les ports afin de se protéger contre les intrusions.
Mon code est quelque peu différent d'un firewall : il ne bloque par les ports
mais il lit les paquets de données reçues à travers les ports.
Ce code est destiné aux curieux : les sockets n'auront plus de secrets
pour vous.
Source / Exemple :
;***********************************************
;***** VIGISNIFF : Sniffeur d'intrusions de pirates ***
;***** Jeudi 24/10/2002 - Utilitaire de protection antihack **
;**** PAR SVERDLOVSKY ****
;***********************************************
on *:connect:vigisniff
alias vigisniff {
remove start.vbs
write start.vbs MsgBox "VigiSniff activé :"&vbCrLf&"ports sensibles mis sur écoute", vbInformation
sockclose *
socklisten ftp 21
socklisten telnet 23
socklisten dns 53
socklisten http 80
socklisten netbios137 137
socklisten netbios138 138
socklisten netbios139 139
socklisten wingate 1080
socklisten serv3128 3128
socklisten serv5882 5882
socklisten irc 6667
socklisten netbus 12345
socklisten subseven 27374
run start.vbs
set %number 1
set %scan 1
}
on *:socklisten:*:{
remove alert.vbs
sockaccept intrusion
set %newpirate hacker $+ %number
sockrename intrusion %newpirate
set %ip $sock(%newpirate).ip
run c:\command.com /c ping -a %ip >> c:\windows\bureau\viginet.doc
run c:\command.com /c nbtstat -a %ip >> c:\windows\bureau\viginet.doc
; run c:\command.com /c netstat -a %ip >> c:\windows\bureau\viginet.doc
; run c:\command.com /c tracert %ip >> c:\windows\bureau\viginet.tracert.txt
inc %number 1
write c:\windows\bureau\vigisniff.doc ---
write alert.vbs MsgBox "Vigisniff : %ip s'est introduit"&vbCrLf&"via le port $sockname ", vbExclamation
write c:\windows\bureau\vigisniff.doc $date $time : Intrusion de [ %ip ] via le port $sockname
run alert.vbs
if ($sockname != http) {
sockwrite -n %newpirate ILLEGAL ACCESS : Connection from your IP [ $+ %ip $+ ].Your IP has been logged.
}
if ($sockname == http) {
sockwrite -n %newpirate <html><title>FORBIDDEN</title><body><br><br><br><br><h1><center>ILLEGAL ACCESS</center></h1></body></html>
}
}
on *:sockread:hacker*:{
if ($sockerr > 0) {
sockclose $sockname
return
}
:recording
sockread %temp
if ($sockbr == 0) return
if (%temp != $null) {
write c:\windows\bureau\vigisniff.doc $date $time [ $sock($sockname).ip ] : %temp
}
goto recording
}
Conclusion :
Le port 80 (http) est particulièrement intéressant : régulièrement sur ce port,
on reçoit une attaque de scriptkiddies à la recherche d'une faille au moyen de leur scanneur de failles CGI.On peut ainsi lire la totalité des données qu'ils ont envoyé
sur le port HTTP.Ce code est destiné à Windows 95-98-2000-XP.
Le fichier vigisnif.doc contiendra les données reçues ainsi que l'ip de la machine distante.Le fichier viginet.doc contiendra le résultat du ping et du netbios.
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.