Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...
Modérateur: modos Ixus
par Gwidel » 13 Mars 2004 00:20
Salut,
<BR>
<BR>J'ai un routeur netgear qui fait passerelle et modem et mon firewall logiciel (Kerio), qui bloque tout par défaut sauf le nécessaire, me previent qu'il tente de se connecter sur le port UDP 137 ( idem pour le broadcast ). Tout fonctionne pour autant
<BR>
<BR>Est-ce normal ou est-ce une attaque netbios qui passe par le routeur ?
<BR>
<BR>Merci d'avance !
-
Gwidel
- Matelot
-
- Messages: 5
- Inscrit le: 12 Mars 2004 01:00
par port666 » 13 Mars 2004 10:48
Normalement t'as pas besoin de NetBIOS sur le net... Tu n'as pas plus d'infos sur cette connexion entrante ?
-
port666
- Major
-
- Messages: 75
- Inscrit le: 01 Jan 2004 01:00
par fraedhrim » 13 Mars 2004 12:17
Je ne comprends pas dans quel sens se tentent ces connexions sur le port 137 ?
<BR>
<BR>Depuis Internet ? Dans ce cas ton routeur/modem ne fait pas son boulot.
<BR>Ou est-ce ta machine qui fait des broadcasts sur ce port ce qui serait normal (mais que tu peux supprimer en enlevant désactivant le client réseau Microsoft dans la config de ton interface réseau) ?
<BR>
<BR>
-
fraedhrim
- Amiral
-
- Messages: 1264
- Inscrit le: 27 Jan 2004 01:00
- Localisation: Nantes
par Gwidel » 13 Mars 2004 14:55
En fait j'ai deux regles qui bloquent les connexions sortantes vers les ports distants UDP à 137 à 139 (règle 1) et les connexions entrantes vers les ports locaux UDP 137 à 139 (regle 2).
<BR>J'ai donc des alertes de tentatives de connexions entrantes de l'ip du routeur 192.168.0.1 vers le port local 137 (règle 1) mais aussi sortantes vers le port distant 138 du broadcast 192.168.0.255 (règle 2).
<BR>Je ne comprends pas ce ke c !
-
Gwidel
- Matelot
-
- Messages: 5
- Inscrit le: 12 Mars 2004 01:00
par Gwidel » 13 Mars 2004 15:10
J'ai oublié de préciser que toutes ces tentatives concernent toutes l'appli SYSTEM.EXE (OS:XP Pro)
<BR>
<BR>
-
Gwidel
- Matelot
-
- Messages: 5
- Inscrit le: 12 Mars 2004 01:00
par fraedhrim » 13 Mars 2004 18:32
C'est louche !
<BR>D'abord ton routeur je ne vois pas pourquoi il voudrait te causer sur ce port là. Un routeur qui cause NetBIOS c'est bizarre. Es-tu absolument sûr du sens ?
<BR>
<BR>Plus louche : sous XP pro moi je ne vois que "ntoskrnl.exe" envoyer et recevoir du 137/138/139 en unicast et broadcast... Mais bon c'est peut-être une question de services activés ou désactivés. (Ou alors y'a virus sous roche mais ...)
<BR>
<BR>Essaie de désactiver (décocher) le client pour le réseau Microsoft et le partage de fichiers et imprimantes au niveau de ton interface réseau sur ton PC et vois si tu as encore les tentatives de connexion...
<BR>
-
fraedhrim
- Amiral
-
- Messages: 1264
- Inscrit le: 27 Jan 2004 01:00
- Localisation: Nantes
par Gwidel » 13 Mars 2004 19:17
Je confirmes bien le sens des connexion.
<BR>J'ai aussi essayé de decocher client microsoft et partage de fichier mais c tjs pareil !
<BR>
<BR>Je me suis dit que c'était peut etre la fonction DHCP du routeur donc je l'ai désactiver (g un petit LAN2 postes avec IP fixe), g meme désactiver le service assistance TCP/IP Netbios et c tjs pareil .
<BR>
<BR>Ca commence à m'intriguer mais pourtant kaspersky ne voit rien d'anormal !
<BR>
<BR>Au fait merci pour votre aide <IMG SRC="images/smiles/icon_wink.gif">)
-
Gwidel
- Matelot
-
- Messages: 5
- Inscrit le: 12 Mars 2004 01:00
par Gwidel » 13 Mars 2004 19:25
Je viens de désactiver Netbios sur TCP/IP pr la résolution des noms et le probleme à l'air réglé, plus d'alerte. Rebelote si je réactive donc le probleme venait bien de la !
<BR>
<BR>Tain de Netbios de mer
-
Gwidel
- Matelot
-
- Messages: 5
- Inscrit le: 12 Mars 2004 01:00
Retour vers Logiciels Microsoft
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité