Bonjour,
Voilà je débute avec IpCop et en regardant mes connexions actives 3 m'ont parus assez suspectes :
tcp (6) 333685 ESTABLISHED 192.168.xxx.xxx:2021 69.245.2.0:1722 69.245.2.0:1722 xxx.xxx.xxx.xxxx:2021 [ASSURED] 9
tcp (6) 377929 ESTABLISHED 192.168.xxx.xxx:2440 82.156.33.160:64795 82.156.33.160:64795 xxx.xxx.xxx.xxx:2440 [ASSURED] 1
tcp (6) 344224 ESTABLISHED 192.168.xxx.xxx:2170 81.64.203.244:1035 81.64.203.244:1035 xxx.xxx.xxx.xxx:2170 [ASSURED] 1
Les autres connexions me paraissent correcte puisqu'elles vont vers du port 80, 53...
Mais celle ci-dessus en plus d'être persistantes ne me paraîssent pas très saines.
Mais comment faire pour savoir quel application les utilise sur la machine source ? (un netstat ne me les présente même pas) ?
Si vous avez une idée, merci ?
Connexions suspectes
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
Connexions suspectes
par GrasDje » 04 Fév 2006 01:54
Dernière édition par GrasDje le 04 Fév 2006 12:20, édité 1 fois au total.
- GrasDje
- Matelot
- Messages: 7
- Inscrit le: 18 Avr 2005 10:36
par shadowman » 04 Fév 2006 01:58
Bah déjà c'est sur des port a la c*n ... c'est louche ca ...
T'es sous Windows ? Si oui, t'as des softs style PStools qui peuvent lister ce genre de trucs
Et une résolution de nom dessus ne donne rien ?
T'es sous Windows ? Si oui, t'as des softs style PStools qui peuvent lister ce genre de trucs
Et une résolution de nom dessus ne donne rien ?
"Un homme prêt à sacrifier une once de liberté au profit de sa sécurité ne mérite pas cette liberté."
A. LINCOLN
A. LINCOLN
-
shadowman - Aspirant
- Messages: 115
- Inscrit le: 24 Avr 2003 00:00
par c3dx4 » 04 Fév 2006 04:37
Bonjour,
sur le site Dave's port list (http://www.cumt.edu.cn/netcenter/networ ... /ports.htm )
J'ai vu que le port 1035 était utilisé par le troyen Multidropper.
Sinon les autres ports sont "clean" même si les applis qui les utilisent sont plutôt
peu conventionnelles ...
Sinon as-tu essayer d'analyser les traces de ces connexions depuis les postes users (avec
EtherReal par exemple) ?
sur le site Dave's port list (http://www.cumt.edu.cn/netcenter/networ ... /ports.htm )
J'ai vu que le port 1035 était utilisé par le troyen Multidropper.
Sinon les autres ports sont "clean" même si les applis qui les utilisent sont plutôt
peu conventionnelles ...
Sinon as-tu essayer d'analyser les traces de ces connexions depuis les postes users (avec
EtherReal par exemple) ?
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
que 2 intelligents assis."
Michel Audiard
- c3dx4
- Second Maître
- Messages: 36
- Inscrit le: 02 Juin 2004 14:13
- Localisation: Saint-Brieuc / Paris
par GrasDje » 04 Fév 2006 12:18
Merci de vos réponses
La resolution n'apporte rien de plus, ce sont des IP de particuliers chez des FAI connus.
Le poste qui est connecté est une system Windows 2003
Ce que je voudrais savoir c'est si il existe une application qui me permettrait d'identifier les processus qui ouvrent ces connexions un peu suspectes.
La resolution n'apporte rien de plus, ce sont des IP de particuliers chez des FAI connus.
Le poste qui est connecté est une system Windows 2003
Ce que je voudrais savoir c'est si il existe une application qui me permettrait d'identifier les processus qui ouvrent ces connexions un peu suspectes.
- GrasDje
- Matelot
- Messages: 7
- Inscrit le: 18 Avr 2005 10:36
5 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité