Connexions suspectes

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Connexions suspectes

Messagepar GrasDje » 04 Fév 2006 01:54

Bonjour,

Voilà je débute avec IpCop et en regardant mes connexions actives 3 m'ont parus assez suspectes :

tcp (6) 333685 ESTABLISHED 192.168.xxx.xxx:2021 69.245.2.0:1722 69.245.2.0:1722 xxx.xxx.xxx.xxxx:2021 [ASSURED] 9

tcp (6) 377929 ESTABLISHED 192.168.xxx.xxx:2440 82.156.33.160:64795 82.156.33.160:64795 xxx.xxx.xxx.xxx:2440 [ASSURED] 1

tcp (6) 344224 ESTABLISHED 192.168.xxx.xxx:2170 81.64.203.244:1035 81.64.203.244:1035 xxx.xxx.xxx.xxx:2170 [ASSURED] 1

Les autres connexions me paraissent correcte puisqu'elles vont vers du port 80, 53...
Mais celle ci-dessus en plus d'être persistantes ne me paraîssent pas très saines.

Mais comment faire pour savoir quel application les utilise sur la machine source ? (un netstat ne me les présente même pas) ?

Si vous avez une idée, merci ?
Dernière édition par GrasDje le 04 Fév 2006 12:20, édité 1 fois au total.
GrasDje
Matelot
Matelot
 
Messages: 7
Inscrit le: 18 Avr 2005 10:36

Messagepar shadowman » 04 Fév 2006 01:58

Bah déjà c'est sur des port a la c*n ... c'est louche ca ...
T'es sous Windows ? Si oui, t'as des softs style PStools qui peuvent lister ce genre de trucs :wink:

Et une résolution de nom dessus ne donne rien ?
"Un homme prêt à sacrifier une once de liberté au profit de sa sécurité ne mérite pas cette liberté."
A. LINCOLN
Avatar de l’utilisateur
shadowman
Aspirant
Aspirant
 
Messages: 115
Inscrit le: 24 Avr 2003 00:00

Messagepar c3dx4 » 04 Fév 2006 04:37

Bonjour,
sur le site Dave's port list (http://www.cumt.edu.cn/netcenter/networ ... /ports.htm )
J'ai vu que le port 1035 était utilisé par le troyen Multidropper.
Sinon les autres ports sont "clean" même si les applis qui les utilisent sont plutôt
peu conventionnelles ...

Sinon as-tu essayer d'analyser les traces de ces connexions depuis les postes users (avec
EtherReal par exemple) ?
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris

Messagepar GrasDje » 04 Fév 2006 12:18

Merci de vos réponses

La resolution n'apporte rien de plus, ce sont des IP de particuliers chez des FAI connus.

Le poste qui est connecté est une system Windows 2003

Ce que je voudrais savoir c'est si il existe une application qui me permettrait d'identifier les processus qui ouvrent ces connexions un peu suspectes.
GrasDje
Matelot
Matelot
 
Messages: 7
Inscrit le: 18 Avr 2005 10:36

Messagepar Nemric » 04 Fév 2006 16:07

Salut,

dans windows, ouvre l'invite de commandes, et tape netstat -b -v

tu auras ainsi la liste des connexions, les programmes et les modules associés ...

A bientôt
Avatar de l’utilisateur
Nemric
Aspirant
Aspirant
 
Messages: 129
Inscrit le: 01 Fév 2005 20:16
Localisation: Lyon


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité