Des abonnés Free testent mes ports.

[jotad]

Bonjour à toutes zé à tous,

Les logs de mon routeur/FW m'informe que plusieurs IP Free (j'ai la liste) test les ports 135 et 445 sur l'IP de mon abonnement Freebox.

Question : pourquoi ? que puis-je faire ?

Merci.

[tomtom]

Question : pourquoi ?

plusieurs possibilités. A priori, ce sont des robots qui cherchent des machines potentiellemtn vulnérables à des attaques sur des failles windos. Ce peut etre des virus aussi. L'objectif est de prendre une partie du controle de ton poste, soit juste pour le plaisir de t'embeter (newbie en mal de sensations), soit pour avoir des "armes" pour une attaque d eplus grande echelle (DDOS, vers...)

que puis-je faire ?

En gros, ecrire au ABUSE de free pour leur signaler les problèmes, avc les ip et les heures des scans. mais il est probable que ca ne donnera aucune suite. A priori, si tu vois les scans, c'est que tu as un detecteur d'intrusion, je suppose donc aussi un firewall.. A priori tu n'es pas en danger immediat.

T.

[jotad]

Merci pour l'info,

J'ai bien pensé à écrire à l'ABUSE mais je doute franchement du résultat.

En fait (pour préciser un peu mon équipement) :

Freebox -> netgear RP614V2 -> PC (XP Home)

Pas de P2P ni de tout cela.

Si j'ai bien compris, je ne risque pas grand chose alors !

merci

[micjack]

Salut,

Oui, mais il serrait interressant aussi de connaitre les port sources... Les a tu?

[Chikouille]

hum...je suis ausi chez FREE et j'ai litteralement halluciné le jour ou j'ai passé mon modem-routeur en bridge : des tonnes de logs

Pour les ports 135,445 etc, tu peut inserer une regle de drop dans prerouting pour maintenir la visibilité dans les logs

Mais chez moi, FREE1024, peine perdue car j'ai jusqu'a 8000 acces/jour sur des ports divers (mais pas des ports de services), avec des ports sources divers, des ip bien sur differentes. Les paquets se repetent 5 a 10 fois. Chose etrange, au meme moment, deux adresses ip differentes visent le meme port cible (cela arrive regulierement)
Je considere cela comme des logiciels p2p qui cherchent à recontacter des clients qui avaient auparavant mon ip
Je n'ai pourtant pas utilisé de p2p depuis au bas mot 3 mois, et j'imagine que tout ce traffic "pollue" ma ligne, d'autant plus que les logs que je voie sont volontairement limités en nombre.

Je ne m'imagine pas envoyer 800 adresses ip au service "ABUSE" et je ne vois pas ce que je peut faire.
Je compte essayer PSAD, sur le papier ca a l air pas mal, peut etre que ca calmera les logs.

a+

[jotad]

Salut,

Oui, mais il serrait interressant aussi de connaitre les port sources... Les a tu?

Hello,

Non, à priori rien sur les ports sources. Ci-dessous un extrait des logs (volontairement tronqués) :

1| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:135
2| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:135
3| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xxx, Destination=82.225.xx.xxx:445
4| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xxx, Destination=82.225.xx.xxx:445
5| <SPI: non-existing connection> <TCP>Source=82.225.xx.xxx, Destination=82.225.xx.xxx:445
6| <SPI: non-existing connection> <TCP>Source=82.225.xx.xxx, Destination=82.225.xx.xxx:445
7| <SPI: non-existing connection> <TCP>Source=82.225.xx.xx, Destination=82.225.xx.xxx:135
8| <SPI: non-existing connection> <TCP>Source=82.225.xx.xx, Destination=82.225.xx.xxx:135
9| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:445
10| <SPI: non-existing connection> <TCP>Source=82.225.xxx.xx, Destination=82.225.xx.xxx:445

Il y en a 128 lignes comme cela dans le log d'hier.

Merci (encore) à tous pour vos infos.

[Chikouille]

tu n'as pas indiqué le port source des paquets, uniquement ip:port cible

mais ne t'inquiete pas pour ce traffic, il est a mon avis inoffensif

[loic]

Salut jotad,
Je suis dans le même cas que toi. J'ai déja posté sur le même sujet 3 ou 4 posts plus bas.
Mon intrus à une adresse Free à savoir 82.228.70.172 et ce matin il à scanné pas mal de mes ports, 36 fois de 09:00 à12:00. Je l'ai signalé à Free@abuse (sur le site de Free) mais curieusement mon message n'est apparemment pas passé.
Je pense que je vais le signaler à NetworkAbuse

[Methos_Hi]

Pour les ports 135 et 445, il n'est pas certain que cela soit des attaques et que le trafic soit volontaire.

Il s'agit peut-être d'un pc windows directement relié à la freebox ou modem (sans routeur) donc directement adressé avec une adresse public et sans firewall (ou mal configuré) qui cherche comme tous les windows à savoir ce qui se passe ou ce qu'il y a sur le réseau surlequel il est connecté et le réseau en question est celui de Free.

Si tu veux tenter d'avoir une réponse, tente un net send sur l'@ip en précisant brièvement le problème et un moyen de te joindre. Genre une adresse mail jetable ou ton numéro freebox, en fonction de ta paranoïa.


A savoir que moi aussi, j'ai des 135 et 445 (beaucoup) et je m'en fout pour le moment!!

[pulsergene]

bonjour

si tu en as assez de te faire scanner
ecrit a abuse@free.fr

[micjack]

Apres, il est possible que ce soit un ver du style Mydoom, Blaster,Sasser ayant infectés ces machines...

D'ou ma question des ports sources...

[Chikouille]

bien vu le coup de la machine windows sans firewall et le netsend pour tester

[loic]

Si tu veux tenter d'avoir une réponse, tente un net send sur l'@ip en précisant brièvement le problème et un moyen de te joindre. Genre une adresse mail jetable ou ton numéro freebox, en fonction de ta paranoïa.

Tu peux me donner la syntaxe exacte ?
Quand je fais une tentative ça me retourne le texte de net help dans lequel je trouve pas net send.
Il est vrai que je n'ai que Win98.

[duval03]

Rappel d'une explication deja diffusé sur le forum


Leport 445 est un des nouveaux ports utilisés par Windows 2000 pour le partage de fichier.

En effet, une des nouvelles fonctionalités de W2K est la possibilité d'utiliser les partages de fichiers directement au dessus de TCP/IP sans utiliser la couche Netbios (port 137, 138(UDP) et 139 (TCP)).

Maintenant, lors d'une connexion à un partage de fichier, voilà ce qui se passe:

Si NetBios est activé sur le client, ce dernier esseaira toujours de se connecter au serveur en utilisant simultanément les ports 139 et 445. S'il y a une réponse sur le port 445, il envoie le drapeau TCP RESET au port 139, et continue sa cession SMB (Server Message Block) en utilisant uniquement le port 445. S'il n'y a pas de réponse sur le port 445, il continue sa cession SMB sur le port 139 si celui-ci répond. Si aucun des deux ports répond, la cession échoue totalement.

Si NetBios n'est pas activé sur le client, ce dernier essaierai toujours de se connecter uniquement sur le port 445. Si le serveur répond sur ce port, la cession s'établira et continuera sur ce port. S'il ne répond pas, la cession échoue. C'est le cas notament si le serveur tourne sous NT (qui ne supporte que le partage de fichier au dessus de la couche NetBios).

Si le serveur supporte NetBios, il écoute sur les ports UDP 137 et 138 mais aussi sur les ports TCP 139 et 445.
Si le serveur ne supporte pas NetBios, il écoute uniquement sur le port TCP 445.

Enfin, si tu n'utilise pas les partages réseau, tu peux directement les désactiver au niveau de la configuration de ta carte réseau en DESACTIVANT les services "Clients pour les réseaux Microsoft" et "Partage de fichiers et d'imprimantes pour les réseaux Microsoft". Je dis bien désactiver, car si tu les supprime tu risque d'avoir de drôles (enfin pas si drôles) de surprises que ça.

[Methos_Hi]

Il est vrai que je n'ai que Win98.

Oups !! Je crois bien que çà n'existe pas dans Win98, du moins pas de base.