Curieuse chose

[crips]

Hier j'installe pour essayer la distrib. IPCOP et ensuite pour comparer l'ancienne distrib. SmoothWall server du 03/02 avec les updates de 4 à 12. <BR> <BR>Pourquoi de 4 à 12 et non pas de 4 à 15 par ce que je n'ai pas eu le temps <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>J'ai été surpris ce matin de m'apercevoir que j'avais eu curieusement une tentative d'accés sur le port 445 ip source :80.11.245.18 à 3 reprises. <BR> <BR>Comment puis je avoir une attaque à 02h19 justement sur le port 445 et suite à une installation d'IpCop et de SmoothWall dans la foulée alors que jusqu'à présent j'utilisais un autre firewall du type ClarkConnect et n'ai jamais eu d'attaque sur ce port ? <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>La question est posé, si quelqu'un a une idée <BR>

[nemesis]

ce ki me fait bizarre c'est que le port 445 est le port k'on utilise pour le https et notemment pour l'admin d'ipcop en passant par un navigateur web.. <BR> <BR>l'adresse ip de l'intrus t'as reussit a identifier a koi elle correspond ou c vraiment un inconnu?

[jpcheney]

445, c'est un port utilisé par microsoft (Microsoft-DS), non ? <BR>https, c'est 443 <BR> <BR>donc, ca pourrait etre un virus ..

[crips]

L'adresse ip est inconnu pour moi sinon l'identification suivante par nslookup: <BR> <BR>Name: APh-Aug-103-1-4-18.abo.wanadoo.fr <BR>Address: 80.11.245.18 <BR> <BR>Concernant le virus : <BR> <BR>Curieux hasard juste aprés une install <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR>

[nemesis]

sauf que sur ipcop le 445 est utilisé pour le https... <BR> <BR>bha heu tu peux tjrs faire une recherche dns sur l'ip... et un whois

[remi]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-03-13 09:42, crips a écrit: <BR>L'adresse ip est inconnu pour moi sinon l'identification suivante par nslookup: <BR> <BR>Name: APh-Aug-103-1-4-18.abo.wanadoo.fr <BR>Address: 80.11.245.18 <BR> <BR>Concernant le virus : <BR> <BR>Curieux hasard juste aprés une install <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Il faudrait que tu envoie un email à <!-- BBcode auto-mailto start --><a href="mailto:abuse@wanadoo.fr">abuse@wanadoo.fr</a><!-- BBCode auto-mailto end -->, avec ton fichier log en piece jointe... ca calmera déja le petit avorton <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>Désactive l'accès au https, <BR> <BR>tu as fermé tout tes ports ??? <BR>tu fait du forwarding ??

[remi]

J'ai trouvez ca dans les news fraiches <BR> <BR>Kaspersky Labs signale l'enregistrement de nouvelles infections causées par le nouveau ver de réseau "Randon". Kaspersky Labs a déjà reçu de nombreux rapports d'infections provennant de la Russie et des Pays-Bas qui viennent d'être frappés par le ver. <BR> <BR>"Randon" se propage via IRC, les réseaux locaux et infecte les ordinateur tournant sous Windows 2000 et Windows XP. Pour pénétrer le système, le ver s'enregistre lui-même sur un serveur IRC (ou sur un réseau local), scanne tous les utilisateurs présents, <!-- BBCode Start --><B>se connecte à l'ordinateur de la victime via le port 445</B><!-- BBCode End --> et essai de gagner l'accés au système en utilisant une liste des mots de passe les plus fréquemment utilisés. Lorsque "Randon" arrive à pénétrer le système, il transmet à ce système le trojan "Apher", qui, depuis un site Internet distant, télécharge les composants manquant du ver (un total de 13 fichiers, incluant un client mIRC complet). <BR> <BR>Port 445, comme c etrange !!! <IMG SRC="images/smiles/icon_biggrin.gif">

[busab]

ce port apparait régulièrement dans les logs, à cause du vers qui essaie de se propager sur une plage d'adresse IP (ou des IP aléatoire, je sais pas). Il faut juste s'assurer que le port est fermé et qu'elles ne vienne pas de l'interieur (enfin, si tu utilise l'administration via https, c'est normal), auquel cas c'est signe qu'un poste est infecté.

[DgSe95]

sous windows 2000, généralement pour la gestion NetBios les ports 445 et 139 sont utliser, le fait qu'il y est des test de connection dans les logs peux aussi provenir du fait que les machines windows envoi des requettes sur c'es ports là pour savoir qui est le CPD (Controleur Principale de Domaine), MSBROWSE (Master Browser), ainsi que d'autre requetes...

[DgSe95]

à noter que pour je ne sais quelle raison le port 445 est ouvert sur smoothwall (autres distrib, je ne sais pas) mais pas le port 139... c'est en effectuant plusieur types de scan, avec nmap et nessus que j'ai découvert ça