Scan depuis le GREEN

[mamy]

Bonsoir
J' ai un probleme de scan qui provient de mon green vers l' exterieur (192.168.1.1) ---> 212.30.96.108
et je voudrais savoir comment il a pu passer IpCop et surtout comment l' enlever de mon PC sous Win 98.
J'utilise Antivir 6.28 et ne detecte pas ce genre de probleme.
meci de vos coups de main.

Voila le message fourni par l' IDS :

Date:: 10/17 13:26:42 Nom: (spp_portscan2) Portscan detected from 192.168.1.1: 6 targets 4 ports in 102 seconds
Priorité: n/a Type:: n/a
Informations sur l'adresse IP: 192.168.1.1:137 -> 212.30.96.108:53
Références: aucune entrée trouvée SID: n/a

[Franck78]

T'es sur que c'est pas l'adresse de ton DNS ???

[mamy]

bonjour
je ne comprends pas comment il a pu arriver sur le green mais je suis sur d'une chose le scan se passe quand la machine est sous win 98, sous Mandrake jamais de scan, là j'ai laissé la machine sous MDK depis plusieurs heures et je vais voir. Je vous tiendrais ua courant
merci encore

[mamy]

Bonsoir à tous
Je reviens sur mon pb, maintenant je suis sûr que le scan provient du green depuis une machine tournant sous win 98.
Maintenant comment l' erradiquer de cette machine. Vous avez des solutions pour ce genre de pb. Comment a t il pu passer IpCop, je me pose encore la question
Merci encore de vos conseils

[zeedix]

Un truc à la con : tu as essayé Ad-aware ou Spybot ?

On ne sait jamais .....

[kcd]

Bonjour,
tu pourrais aussi par exemple installer etheral, qui te permettra de voir vraiment si des paquets transitent sans ton consentement de ton GREEN, jusqu'à ton RED.

A bientôt.

[barbak]

lut.

apparament ils y a 2 threads identiques sur le forum ( http://forums.ixus.net/viewtopic.php?t=22228 ).

bon c'est pas que ca me gene perso mais je tenais a l'indiquer pour ne pas porter a confusion .

du coup j'avais pas fait gaffe j'ai répondu dans l'autre.

a+

[mamy]

bonsoir
merci pour vos posts, mais le scan continue toujours.
J' ai installé "Ethereal" pour surveiller le trafic mais seulement comment faire pour surveiller les paquets green ----> red.
Une autre question, pour le scan détecté par IpCop, les resultats vont où car je ne vois pas de trace des résultats.
Autre chose bizzare, l'adresse IP de la machine source indiquée "192.168.1.10" alors que l'adresse fixe exacte est " 192.168.1.1".

Date:: 11/04 16:45:35 Nom: (spp_portscan2) Portscan detected from 192.168.1.1: 6 targets 4 ports in 41 seconds
Priorité: n/a Type:: n/a
Informations sur l'adresse IP: 192.168.1.10:1210 -> 193.110.152.241:443
Références: aucune entrée trouvée SID:

je crois que je vais devenir fou car il ya des choses incomprehensibles ou c'est moi qui ne comprends rien.
Merci de vos aides
Tchao

[Franck78]

Ta première adresse donne

Code: Tout sélectionner

<<>> DiG 9.2.3rc2 <<>> 108.96.30.212.in-addr.arpa
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40707
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;108.96.30.212.in-addr.arpa.    IN      A

;; AUTHORITY SECTION:
96.30.212.in-addr.arpa. 3600    IN      SOA     ns0.9tel.net. hostmaster.9tel.net. 2004042801 86400 7200 3628800 172800

;; Query time: 145 msec
;; SERVER: 10.0.0.100#53(10.0.0.100)
;; WHEN: Fri Nov  5 03:24:09 2004
;; MSG SIZE  rcvd: 103



Un serveur DNS d'après le nom...

Code: Tout sélectionner

Country: FRANCE


% This is the RIPE Whois secondary server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum:      193.110.152.0 - 193.110.152.255
netname:      CREDIT-LYONNAIS-NET1
descr:        CREDIT LYONNAIS SA
country:      FR
admin-c:      VG116-RIPE
tech-c:       JB371-RIPE
status:       ASSIGNED PI
mnt-by:       IWAY-NOC
mnt-by:       RIPE-NCC-HM-PI-MNT
mnt-lower:    RIPE-NCC-HM-PI-MNT
mnt-routes:   IWAY-NOC
changed:      **********@ripe.net 20020212
source:       RIPE

route:        193.110.152.0/24
descr:        CREDIT LYONNAIS
descr:        UUNET France routed for CREDIT LYONNAIS
origin:       AS24598
remarks:      fr.uu.net
notify:       *******@mciworldcom.fr
mnt-by:       IWAY-NOC
changed:      ****************@mciworldcom.fr 20020702
source:       RIPE

role:         technical contact
address:      UUNET FRANCE
address:      215, Avenue Georges Clemenceau
address:      F-92024 NANTERRE Cedex
phone:        +33 1 56 38 22 00
fax-no:       +33 1 56 38 22 01
e-mail:       *******@mciworldcom.fr
admin-c:      VP1616-RIPE
admin-c:      FM7174-RIPE
admin-c:      AW7486-RIPE
tech-c:       FM7174-RIPE
tech-c:       ARK-RIPE
nic-hdl:      JB371-RIPE
remarks:      -------------------------------------
remarks:      For all spamming or hacking problems
remarks:      please send your requests directly to
remarks:      *****@fr.uu.net
remarks:      -------------------------------------
mnt-by:       IWAY-NOC
changed:      ****************@mciworldcom.fr 20010828
changed:      ****************@fr.mci.com 20040119
source:       RIPE

person:       Vincent Godin
address:      CREDIT LYONNAIS
address:      ZAC des Fontaines Giroux - 2-4, Allee des Freres Lumiere
address:      94360 BRY SUR MARNE
phone:        +33 1 55 67 40 69
fax-no:       +33 1 55 67 42 03
e-mail:       *************@creditlyonnais.fr
nic-hdl:      VG116-RIPE
mnt-by:       IWAY-NOC
changed:      ****************@mciworldcom.fr 20020109
source:       RIPE

Alors tu connais du monde chez le lyon ?

[mamy]

Bonsoir à tous
merci Frank78, merci pour vos coup de main, j' ai trouvé la réponse.
Le scan provient dés que l' on contacte un site sécurisé, seulement pourquoi je n' ai pas lancé l' utilitaire " dig " sous mandrake pour avoir plus d' informations sur ces différentes adresses.
Encore une fois merci à tous
Allez tchao.