Help : connexions incessantes sur le port 445

[ch4r0]

Hello

# J'ai un p'tit soucis concernant le port 445 qui est sans cesse sollicité sur ma machine et là sérieux j'en peux plus parce que je ne comprends pas pourquoi !!!

# Déjà pour situer le contecxte, je suis sous LINUX / MANDRAKE 10 et d'après ce que j'ai pu lire sur la sollicitation de ce port particulier c'est qu'il est généralement utilisé par microsoft pour les serveur 2000 & +

# Allez histoire de se faire un p'tit peu peur, un p'tit tour sur la liste des virus et là bonne surprise le port 445 est sollicité par les $%#&! suivantes : Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder, Sasser

# Lorsque je regarde ce qui se passe avec ETHEREAL, j'ai un nombre incroyable de sollicitations d'adresses ip sur ce port spécifique ( fichier du log d'hier = 28 Mo ) : chaque adresse IP distante envoie au moins 2 voire 3 requêtes sur ma machine et bien sûr y'a réponse de ma machine !

# Bon ensuite je vérifie rapidos avec NMAP ce qui se passe et évidemment 445/tcp open microsoft-ds !!!

# Afin de voir ce qui communique sur ce $%#&! port, un p'tit NETSTAT -NAP et le résultat est le suivant :
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 2625/smbd

# D'où là nouvelle interrogation puisque je n'ai jamais eu toutes ces sollicitations auparavant ( 3 mois que cette mandrake est installée ) et je n'ai rien installé de spécifique si ce n'est des RPM certifiés !

-> Quelqu'un peut-il m'expliquer ce qui m'arrive là

[golodh]

t'as samba installé (partage de fichiers windows sous linux) et apparement tu n'as pas de firewall activé pour bloquer les tentatives de connexions sur ce port là.

a+
gld

[ch4r0]

yes samba est installé en effet mais ce que je ne comprends pas c'est que le firewall est verrouillé de manière à ne pas communiquer de l'extérieur sur ce port

en fait ce qui m'inquiète le plus maintenant c'est de savoir quels sont les ports qui sont alors accessibles de l'extérieur !

[golodh]

ixus te permet de faire ce test dans outils réseaux

a+
gld

[ch4r0]

Je l'avais vu mais voila la réponse : Désolé, ce module n'est pas activé !!!!!!!

[golodh]

Ben il existe pleins de site qui te permettent de le faire :

http://www.google.fr/search?q=free+port+scan&ie=UTF-8&hl=fr&meta=

bons scans
a+
gld

[ch4r0]

je viens d'effectuer le scan qui va bien et voilà le result :

Trying to gather information from your web browser...
Operating System = Linux i686
Browser = Netscape Navigator 5.0

Trying to find out your computer name...

Unable to determine your computer name!

Trying to find out what services you are running...

Unable to detect any running services!


-> Ce que je veux faire maintenant c'est mettre en place une règle de manière à ce que lorsque le port 445 est sollicité ben ma machine n'envoie pas de réponse

-> Par ailleurs est-il possible de cacher l'OS utilisé ainsi que le navigateur ?

[Methos_Hi]

oui mais comme indiqué c'est uniquement ton navigateur qui a fournit ces informations, c'est donc pas très grave.

[ch4r0]

oui mais comme indiqué c'est uniquement ton navigateur qui a fournit ces informations, c'est donc pas très grave.

Oui mais bon s'il y a possibilité de le verrouiller ce serait pas mal non plus

[ch4r0]

bon un p'tit coup d'IPTABLES et c'est reparti mon kiki...


-> un début de réponse concernant mon p'tit PB :

http://www.symantec.com/region/fr/techs ... rgo.f.html

TCP 445, 113, 3067 et 6667. Peut écouter sur des ports aléatoires également...


ps : j'ai pas d'actions chez ciment tec

[bebertjack]

Bonjour,

J'ai moi aussi beaucoup de sollicitation sur les ports 445 et consord sur un ipcop donc pas besoin d'avoir samba ou windows pour que quelqu'un fasse une tentative d'intrusion en netbios. Ce sont surement des robots qui cherchent.

Le fait que ta machine "reponde" ne veut pas dire qu'elle accepte la connexion, car cela peut etre une réponse arp souvent non filtré par les firewalls ou bien le firewall qui reject la connexion plutot que de la dropper;

[ch4r0]

Bonjour,

J'ai moi aussi beaucoup de sollicitation sur les ports 445 et consord sur un ipcop donc pas besoin d'avoir samba ou windows pour que quelqu'un fasse une tentative d'intrusion en netbios. Ce sont surement des robots qui cherchent.

Le fait que ta machine "reponde" ne veut pas dire qu'elle accepte la connexion, car cela peut etre une réponse arp souvent non filtré par les firewalls ou bien le firewall qui reject la connexion plutot que de la dropper;

J'utilise perso IPTABLES et j'ai mis en place des drops en effet

[ztim62]

Salut

Moi aussi je vois sur mon firewall que l'on tente de communiquer sur le port 445, et alors ?? si tu es sous linux et que tu ne redirige pas ce port vers une machine windows, il n'y a pas de soucis !! Ca sert à rien de se prendre la tete avec ça, de toutes facons tu ne peut rien faire et ça ne te cause aucuns problèmes. La seule solution ... aller voir tous les possesseurs de pc n'ayant pas de firewall et etant infecté par sasser & co et leur couper leur connexion internet .....

A bientot

TiM

[ch4r0]

Salut

Moi aussi je vois sur mon firewall que l'on tente de communiquer sur le port 445, et alors ?? si tu es sous linux et que tu ne redirige pas ce port vers une machine windows, il n'y a pas de soucis !! Ca sert à rien de se prendre la tete avec ça, de toutes facons tu ne peut rien faire et ça ne te cause aucuns problèmes. La seule solution ... aller voir tous les possesseurs de pc n'ayant pas de firewall et etant infecté par sasser & co et leur couper leur connexion internet .....

A bientot

TiM

C'est une façon de voir les choses en effet mais bon je ne vois pas pourquoi retourner une réponse à ces requêtes > ça n'engage que moi lol