Help : connexions incessantes sur le port 445

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Help : connexions incessantes sur le port 445

Messagepar ch4r0 » 23 Juin 2004 11:08

Hello

# J'ai un p'tit soucis concernant le port 445 qui est sans cesse sollicité sur ma machine et là sérieux j'en peux plus parce que je ne comprends pas pourquoi !!!

# Déjà pour situer le contecxte, je suis sous LINUX / MANDRAKE 10 et d'après ce que j'ai pu lire sur la sollicitation de ce port particulier c'est qu'il est généralement utilisé par microsoft pour les serveur 2000 & +

# Allez histoire de se faire un p'tit peu peur, un p'tit tour sur la liste des virus et là bonne surprise le port 445 est sollicité par les $%#&! suivantes : Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder, Sasser

# Lorsque je regarde ce qui se passe avec ETHEREAL, j'ai un nombre incroyable de sollicitations d'adresses ip sur ce port spécifique ( fichier du log d'hier = 28 Mo ) : chaque adresse IP distante envoie au moins 2 voire 3 requêtes sur ma machine et bien sûr y'a réponse de ma machine !

# Bon ensuite je vérifie rapidos avec NMAP ce qui se passe et évidemment 445/tcp open microsoft-ds !!!

# Afin de voir ce qui communique sur ce $%#&! port, un p'tit NETSTAT -NAP et le résultat est le suivant :
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 2625/smbd

# D'où là nouvelle interrogation puisque je n'ai jamais eu toutes ces sollicitations auparavant ( 3 mois que cette mandrake est installée ) et je n'ai rien installé de spécifique si ce n'est des RPM certifiés !

-> Quelqu'un peut-il m'expliquer ce qui m'arrive là :(
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

slt

Messagepar golodh » 23 Juin 2004 11:15

t'as samba installé (partage de fichiers windows sous linux) et apparement tu n'as pas de firewall activé pour bloquer les tentatives de connexions sur ce port là.

a+
gld
Avatar de l’utilisateur
golodh
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 14 Jan 2004 01:00

samba est effectivement installé

Messagepar ch4r0 » 23 Juin 2004 11:21

yes samba est installé en effet mais ce que je ne comprends pas c'est que le firewall est verrouillé de manière à ne pas communiquer de l'extérieur sur ce port

en fait ce qui m'inquiète le plus maintenant c'est de savoir quels sont les ports qui sont alors accessibles de l'extérieur !
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

Messagepar golodh » 23 Juin 2004 11:25

ixus te permet de faire ce test dans outils réseaux ;)

a+
gld
Avatar de l’utilisateur
golodh
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 14 Jan 2004 01:00

Scan des ports avec IXUS...

Messagepar ch4r0 » 23 Juin 2004 11:32

Je l'avais vu mais voila la réponse : Désolé, ce module n'est pas activé !!!!!!!
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

Messagepar golodh » 23 Juin 2004 11:38

Ben il existe pleins de site qui te permettent de le faire :

http://www.google.fr/search?q=free+port+scan&ie=UTF-8&hl=fr&meta=

bons scans :)
a+
gld
Avatar de l’utilisateur
golodh
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 14 Jan 2004 01:00

bon on progresse

Messagepar ch4r0 » 23 Juin 2004 11:53

je viens d'effectuer le scan qui va bien et voilà le result :

Trying to gather information from your web browser...
Operating System = Linux i686
Browser = Netscape Navigator 5.0

Trying to find out your computer name...

Unable to determine your computer name!

Trying to find out what services you are running...

Unable to detect any running services!


-> Ce que je veux faire maintenant c'est mettre en place une règle de manière à ce que lorsque le port 445 est sollicité ben ma machine n'envoie pas de réponse

-> Par ailleurs est-il possible de cacher l'OS utilisé ainsi que le navigateur ?
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

Messagepar Methos_Hi » 23 Juin 2004 11:56

oui mais comme indiqué c'est uniquement ton navigateur qui a fournit ces informations, c'est donc pas très grave.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

:-)

Messagepar ch4r0 » 23 Juin 2004 12:19

Methos_Hi a écrit:oui mais comme indiqué c'est uniquement ton navigateur qui a fournit ces informations, c'est donc pas très grave.


Oui mais bon s'il y a possibilité de le verrouiller ce serait pas mal non plus
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

question $%#&! héhé

Messagepar ch4r0 » 23 Juin 2004 13:28

bon un p'tit coup d'IPTABLES et c'est reparti mon kiki...


-> un début de réponse concernant mon p'tit PB :

http://www.symantec.com/region/fr/techs ... rgo.f.html

TCP 445, 113, 3067 et 6667. Peut écouter sur des ports aléatoires également...


ps : j'ai pas d'actions chez ciment tec
Dernière édition par ch4r0 le 23 Juin 2004 14:32, édité 1 fois au total.
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

Messagepar bebertjack » 23 Juin 2004 14:00

Bonjour,

J'ai moi aussi beaucoup de sollicitation sur les ports 445 et consord sur un ipcop donc pas besoin d'avoir samba ou windows pour que quelqu'un fasse une tentative d'intrusion en netbios. Ce sont surement des robots qui cherchent.

Le fait que ta machine "reponde" ne veut pas dire qu'elle accepte la connexion, car cela peut etre une réponse arp souvent non filtré par les firewalls ou bien le firewall qui reject la connexion plutot que de la dropper;
bebertjack
Major
Major
 
Messages: 71
Inscrit le: 30 Mars 2004 11:23

Klair

Messagepar ch4r0 » 23 Juin 2004 14:33

bebertjack a écrit:Bonjour,

J'ai moi aussi beaucoup de sollicitation sur les ports 445 et consord sur un ipcop donc pas besoin d'avoir samba ou windows pour que quelqu'un fasse une tentative d'intrusion en netbios. Ce sont surement des robots qui cherchent.

Le fait que ta machine "reponde" ne veut pas dire qu'elle accepte la connexion, car cela peut etre une réponse arp souvent non filtré par les firewalls ou bien le firewall qui reject la connexion plutot que de la dropper;


J'utilise perso IPTABLES et j'ai mis en place des drops en effet
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40

Messagepar ztim62 » 24 Juin 2004 11:42

Salut

Moi aussi je vois sur mon firewall que l'on tente de communiquer sur le port 445, et alors ?? si tu es sous linux et que tu ne redirige pas ce port vers une machine windows, il n'y a pas de soucis !! Ca sert à rien de se prendre la tete avec ça, de toutes facons tu ne peut rien faire et ça ne te cause aucuns problèmes. La seule solution ... aller voir tous les possesseurs de pc n'ayant pas de firewall et etant infecté par sasser & co et leur couper leur connexion internet ..... :lol:

A bientot

TiM
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS

Messagepar ch4r0 » 03 Juil 2004 18:21

ztim62 a écrit:Salut

Moi aussi je vois sur mon firewall que l'on tente de communiquer sur le port 445, et alors ?? si tu es sous linux et que tu ne redirige pas ce port vers une machine windows, il n'y a pas de soucis !! Ca sert à rien de se prendre la tete avec ça, de toutes facons tu ne peut rien faire et ça ne te cause aucuns problèmes. La seule solution ... aller voir tous les possesseurs de pc n'ayant pas de firewall et etant infecté par sasser & co et leur couper leur connexion internet ..... :lol:

A bientot

TiM


C'est une façon de voir les choses en effet mais bon je ne vois pas pourquoi retourner une réponse à ces requêtes > ça n'engage que moi lol :wink:
ch4r0
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 23 Juin 2004 10:40


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron